_____ _    _         _____  _____ _   _          _____   _____  
    / ____| |  | |  /\   |  __ \|_   _| \ | |   /\   / _ \ \ / / _ \ 
   | |  __| |  | | /  \  | |__) | | | |  \| |  /  \ | | | \ V / | | |
   | | |_ | |  | |/ /\ \ |  _  /  | | | . ` | / /\ \| | | |> <| | | |
   | |__| | |__| / ____ \| | \ \ _| |_| |\  |/ ____ \ |_| / . \ |_| |
    \_____|\____/_/    \_\_|  \_\_____|_| \_/_/    \_\___/_/ \_\___/ 
                                                                     
                    ./Guarina0x0
Titulo: TryHackMe - Anonymous Writeup
Fecha: 2021-06-08
Descripcion: Enumearacion FTP - SMB

TryHackMe - Anonymous Writeup

## Ping:

ping -c1 10.10.241.225

Mediante el comando ping vamos a trazar una ruta ICMP para ver si la maquina esta activa y ante que tipo de sistema operativo estamos

Podemos ver que la respuesta del ttl es 63 , el TTL en maquinas Linux es 64 y en maquinas Windows 128 , en este caso es 63 porque pasa por un nodo intermediario.

## Enumeracion de Puertos:

Ahora vamos a proceder a ver que servicios tiene esta maquina abiertos para ello vamos a realizar una enumeracion de puertos:

Vamos a ver que tiene los siguientes puertos abiertos:

-Puerto 21 FTP

-Puerto 22 SSH

-Puerto 139 Netbios-ssn

-Puerto 445 Microsoft-ds

## FTP:

Vamos a enumerar el servicio FTP para poder ver si tiene activo el login mediante el usuario Anonymous

No solo tiene activo el usuario Anonymous , si no que tenemos dentro un directorio llamado "scripts"

El cual contiene 3 ficheros , 1 fichero sh , 1 fichero log y un fichero de cosar por hacer

Mediante el comando "get" vamos a descargar estos 3 ficheros a nuestro directorio para poder analizarlos en busca de informacion

Si investigamos estos ficheros , en el to_do.txt tenemos una frase que dice "Necesito deshabilitar el modo Anonymous , no es realmente seguro" , y si vemos el fichero clean.sh aqui ya tenemos algo mas interesante es un script que elimina archivos que esten en el directorio /tmp

## Enumeracion SMB:

En la enumeracion de servicios activos , estaba el SMB abierto por lo que vamos a enumerar el recurso compartido de Samba mediante una Null Session

Nos vamos a encontrar ante un directorio llamado "pics" el cual contiene 2 imagenes que puede contener informacion oculta por lo que vamos a descargar esas 2 imagenes

Si abrimos esas 2 imagenes , son imagenes de perros que no tiene nada interesante en principio

Se puede pensar que puede ser estenegrafia pero en principio vamos a volver al script clean.sh que parece que podemos obtener una shell reversa

## Script Clean.sh:

Si intentamos meter una shell reversa y reemplazar el script en el servidor ftp y que cuando lo ejecute en vez de escribir que se ha realizado el borrado y guardarlo en el log , nos diera una shell reversa tendriamos acceso a una shell reversa

Si volvemos al servicio FTP y buscamos algo para reemplazar el fichero clean.sh por el que hemos creado nosotros con la shell reversa , para ello vamos a tener que utilizar el comando append que nos permite reemplazar el archivo

Mediante el comando append vamos a proceder a remplazar dicho script

## User.txt:

Nos esperamos a que se ejecute el script y nos ponemos a la escucha mediante Netcat

nc -lvnp 443

Y tras unos segundos tendremos nuestra Shell Reversa y podremos ver el flag del Usuario

## Escalar Privilegios:

Para escalar privilegios vamos a tener que buscar por permisos SUID que tenga el usuario y que podamos ejecutar un proceso como el usuario Root

find / -perm -u0s 2>/dev/null

Si vemos todos los recursos con permisos SUID vamos a encontrarnos con un proceso que nos interesa , ya que nos podemos convertir en root facilmente

Si buscamos como explotar el SUID de /usr/bin/env: https://gtfobins.github.io/gtfobins/env/

Para explotar este SUID vamos a tener que ejecutar el siguiente comando:

/usr/bin/env /bin/sh -p

Y ya estaria explotada la maquina Anonymous!!