1 00:00:00,080 --> 00:00:05,760 En esta clase vamos a hablar acerca de una herramienta que nos va a ayudar a buscar cosas interesantes 2 00:00:05,760 --> 00:00:13,530 dentro del servidor, así que voy a poner todo esto en orden y vamos a cerrar estas cositas que no estoy 3 00:00:13,530 --> 00:00:14,310 utilizando. 4 00:00:14,670 --> 00:00:24,360 Luego lo que haremos es ir a Google y vamos a buscar lo siguiente las APP y luego vamos a estar seleccionando 5 00:00:24,420 --> 00:00:26,370 este resultado de privilegios. 6 00:00:26,370 --> 00:00:33,660 Calello o uso scripts, así que hacemos clic por acá y ahora vamos a descargar esto, así que copiamos 7 00:00:33,720 --> 00:00:43,170 esto y luego iremos hacia nuestra carpeta de scripts y por acá iremos circón y vamos a pegar la web. 8 00:00:44,670 --> 00:00:52,440 Luego de eso vamos a entrar a esta nueva carpeta l.s. y vamos a Centrarã limpiadas. 9 00:00:52,740 --> 00:00:58,140 Si se fijan por acá hay una versión para utilizar este script en Windows. 10 00:00:58,380 --> 00:01:05,400 Luego por acá vamos a hacer l.s. nuevamente y tenemos el archivo que necesitamos en nuestro script. 11 00:01:05,970 --> 00:01:12,570 Así que vamos a decir zurdo con 3 cm http server. 12 00:01:13,200 --> 00:01:14,250 Puerto 80. 13 00:01:18,000 --> 00:01:18,570 Cali. 14 00:01:20,600 --> 00:01:27,770 Después de este lado, nosotros vamos a ir a nuestra carpeta de archivos temporales para no dejar cosas 15 00:01:27,770 --> 00:01:32,570 tiradas en otras carpetas y vamos a descargar este script. 16 00:01:33,000 --> 00:01:35,250 Lo vamos a hacer con doble VGX. 17 00:01:35,690 --> 00:01:45,430 Ahora quiero realizar rápidamente mi tenemos acá y voy a decir doble Breguet al archivo límpidas punto 18 00:01:45,440 --> 00:01:47,800 SH y HD. 19 00:01:47,820 --> 00:01:59,860 Descargo Cierro los de abajo y vamos a ejecutar este script diciendo bajo mi punto de script nos devuelve 20 00:01:59,870 --> 00:02:01,490 muchísima información. 21 00:02:02,030 --> 00:02:08,030 Es por esto que al inicio del curso le había pedido configurarlo de la cantidad de líneas que podía 22 00:02:08,030 --> 00:02:14,480 retener el historial de la pantalla para que cuando vaya a utilizar este script les alcance todo acá 23 00:02:14,480 --> 00:02:15,500 sin ningún problema. 24 00:02:15,590 --> 00:02:22,520 El script ha finalizado, así que podemos hacer una búsqueda de la palabra password para ver si nuestro 25 00:02:22,520 --> 00:02:25,950 script encontró alguna contraseña que podamos utilizar. 26 00:02:26,240 --> 00:02:30,040 Entonces, control chip F y buscamos password. 27 00:02:30,470 --> 00:02:33,290 Venimos desde arriba, seguimos buscando. 28 00:02:33,560 --> 00:02:39,190 Por acá no hay nada, todavía seguimos y aquí hay algo interesante. 29 00:02:39,210 --> 00:02:40,040 Vea. 30 00:02:41,310 --> 00:02:47,700 Tenemos la carpeta Topete y luego tenemos punto password, punto back, un archivo oculto. 31 00:02:48,150 --> 00:02:53,880 Luego lo que podríamos hacer es ir a buscar este archivo y ver si contiene información interesante, 32 00:02:54,300 --> 00:02:56,210 así que vamos a hacer CD. 33 00:02:56,700 --> 00:02:58,860 Leca Pete LSM. 34 00:02:59,150 --> 00:02:59,420 Ah! 35 00:03:00,120 --> 00:03:02,100 Como pueden ver, acá está el archivo. 36 00:03:02,140 --> 00:03:13,050 Así que ahora podemos decir ls l 200 ls menos leha para verificar los permisos y cómo pueden ver este 37 00:03:13,050 --> 00:03:21,540 archivo le pertenece al root, pero con todos los otros usuarios tenemos permiso de ejecución, de escritura 38 00:03:21,600 --> 00:03:22,350 y de lectura. 39 00:03:22,590 --> 00:03:26,320 Podríamos sacar hacer un CAP punto por punto VAC. 40 00:03:26,490 --> 00:03:30,030 A ver si podemos leer lo que hay dentro y excelente. 41 00:03:30,120 --> 00:03:32,190 Tenemos una contraseña. 42 00:03:33,030 --> 00:03:35,790 Este es el bacab de la contraseña de Andres. 43 00:03:36,240 --> 00:03:39,780 Traigamos a la mente todo lo que hemos enumerado hasta ahora. 44 00:03:40,350 --> 00:03:47,580 Sabemos que está un usuario llamado Andrés, que también es admin de esta parte de acá de nuestra página 45 00:03:47,580 --> 00:03:47,910 web. 46 00:03:48,840 --> 00:03:50,070 Y qué más sabemos? 47 00:03:50,100 --> 00:03:51,000 Piensa un poco. 48 00:03:51,510 --> 00:03:57,600 Recuerden que cuando hicimos el escaneo con N Mapp encontramos otro puerto abierto a parte del puerto 49 00:03:57,600 --> 00:04:01,290 número 80 y ese puerto tenía SSH. 50 00:04:01,560 --> 00:04:06,990 Qué tal si probamos a conectarnos por medio de SSH utilizando estas credenciales? 51 00:04:07,410 --> 00:04:08,610 Podríamos hacer eso? 52 00:04:09,030 --> 00:04:11,870 Entonces vamos a decir SSH. 53 00:04:12,570 --> 00:04:13,920 Probemos con Android. 54 00:04:14,610 --> 00:04:15,840 Sí, con Android no funciona. 55 00:04:15,900 --> 00:04:19,630 Podríamos intentar con Andrés porque estoy intentando con Android. 56 00:04:19,650 --> 00:04:24,440 Primero porque en el correo electrónico aparecía como handle, no como Angles. 57 00:04:25,020 --> 00:04:31,320 Luego por acá voy a pasar la dirección IP de la máquina y vamos a intentar conectarnos. 58 00:04:31,710 --> 00:04:39,100 Y es otra cosa que podría hacer por acá, es decir, Shuichi User e intentar cambiar el usuario Android. 59 00:04:39,420 --> 00:04:45,920 Y luego podemos probar con esa contraseña y ver si somos capaces de migrar hacia ese usuario. 60 00:04:46,110 --> 00:04:46,620 Excelente. 61 00:04:46,630 --> 00:04:53,100 Ahora pueden ver que yo soy otro usuario, soy André, en vez de ser doble WW UBE Data. 62 00:04:53,310 --> 00:04:59,310 Sigamos probando por acá a ver si puedo conectar por medio de SSH y también pude hacerlo. 63 00:04:59,680 --> 00:05:05,850 Entonces ahora vamos a estar ocupando el lugar de SSH, ya que aquí tenemos una YE'L con mayor número 64 00:05:05,850 --> 00:05:06,810 de funcionalidades. 65 00:05:07,060 --> 00:05:13,050 Voy a cerrar esto de arriba y ahora comencemos a ver qué se puede hacer de este lado. 66 00:05:13,350 --> 00:05:18,960 Antes de empezar a trabajar de este lado, me gustaría volver a revisar mi escaneo con limpias. 67 00:05:19,080 --> 00:05:20,930 Y qué podría buscar en líneas? 68 00:05:21,030 --> 00:05:26,430 Bueno, ya tengo acceso a un usuario en concreto cuando de un usuario en concreto es un usuario que 69 00:05:26,430 --> 00:05:31,560 no sea doble WW Data, porque este usuario no suele tener muchos privilegios. 70 00:05:32,010 --> 00:05:39,120 Entonces, ahora que soy usuario tengo mayor número de privilegios, pero no tengo el mejor número de 71 00:05:39,120 --> 00:05:39,870 privilegios. 72 00:05:39,930 --> 00:05:41,550 Es decir, no soy superusuario. 73 00:05:42,300 --> 00:05:48,840 Entonces yo podría buscar cómo convertirme en el root del servidor y cómo podemos hacer eso. 74 00:05:49,260 --> 00:05:53,790 Hay varias técnicas en el curso de hacking ético desde cero. 75 00:05:54,180 --> 00:05:55,710 Compartí alguna de ellas. 76 00:05:56,100 --> 00:06:03,030 Podemos ver que en algunos casos entramos al servidor siendo root directamente, como en mi curso pasado 77 00:06:03,120 --> 00:06:04,640 y como en la sección pasada. 78 00:06:05,310 --> 00:06:11,160 También recordemos que en el curso de hacking ético desde cero mostraba una técnica que era siendo un 79 00:06:11,160 --> 00:06:12,140 ataque al kernel. 80 00:06:12,450 --> 00:06:19,110 Otra manera que estudiábamos de escalar privilegios era utilizando sudo menos el que podríamos ver si 81 00:06:19,110 --> 00:06:26,940 puedo hacer, sudo menos por acá y reutilizar esta contraseña para ver si funciona y dice que no tengo 82 00:06:26,940 --> 00:06:28,260 acceso a sudo. 83 00:06:28,590 --> 00:06:29,970 Entonces eso no va a servir. 84 00:06:30,310 --> 00:06:36,450 Si yo intento hacer un ataque al kernel, me voy a dar cuenta que tampoco hay algún exploit que me permita 85 00:06:36,450 --> 00:06:38,340 atacar el kernel de manera exitosa. 86 00:06:38,850 --> 00:06:41,010 Entonces, ahora qué podemos hacer? 87 00:06:41,580 --> 00:06:46,260 Hay una técnica en la escala de privilegios que tiene que ver con los cráneos. 88 00:06:46,590 --> 00:06:50,410 Estos, con Jobs explicándolo de manera sencilla, son los siguientes. 89 00:06:50,790 --> 00:06:56,790 Son tareas que ya han sido establecidas para estarse ejecutando cada cierto tiempo. 90 00:06:56,820 --> 00:07:03,540 Por ejemplo, si un administrador quiere que cada cierto tiempo se esté respaldando el contenido de 91 00:07:03,540 --> 00:07:10,680 la página web, puede crear un clon Job que respalde el contenido de la web cada 5 minutos. 92 00:07:10,920 --> 00:07:17,430 Y así, de ese modo, un administrador podría intentar automatizar una tarea cada cierto tiempo y a 93 00:07:17,510 --> 00:07:18,410 ayuda ayuda esto. 94 00:07:18,750 --> 00:07:23,610 Generalmente los Krohn-Dehli OPS son ejecutados con los permisos de superusuario. 95 00:07:23,850 --> 00:07:30,090 Entonces, si soy capaz de envenenar el clon Joop, de alguna manera yo podría ser el clon. 96 00:07:30,420 --> 00:07:36,230 De algún modo ejecute código malicioso que me permita escalar privilegio. 97 00:07:36,810 --> 00:07:39,420 Entonces, qué es lo que está pasando, por ejemplo, acá? 98 00:07:40,880 --> 00:07:48,500 Tuvo una reversa como elusuario doble W WV Data, porque es este usuario el que hizo la ejecución del 99 00:07:48,500 --> 00:07:48,960 código. 100 00:07:49,430 --> 00:07:53,810 Pero qué pasaría si la ejecución del código la está haciendo el robot? 101 00:07:54,020 --> 00:08:00,350 Entonces la reversal que yo tendría sería una reverse donde yo sería el robot. 102 00:08:00,650 --> 00:08:02,540 Así que vamos a intentar hacer eso. 103 00:08:02,960 --> 00:08:04,970 Vamos a buscar algún clon? 104 00:08:04,970 --> 00:08:05,230 Joop. 105 00:08:05,420 --> 00:08:11,540 Vamos, intentar atacarlo de manera que el robot ejecute el código que nos va a permitir obtener una. 106 00:08:11,690 --> 00:08:15,010 Reversar la manera de buscar eso va a ser la siguiente. 107 00:08:15,080 --> 00:08:18,660 Yo por acá voy a buscar pronta para ir a esta parte de acá. 108 00:08:19,040 --> 00:08:26,210 Aquí tengo los diferentes Kronk, ups que hoy tenemos con Jobs que se ejecuta diario, que se ejecutan 109 00:08:26,210 --> 00:08:33,950 cada hora, cada mes, semanalmente y por acá tenemos un clon, Joop, bastante personalizado. 110 00:08:34,060 --> 00:08:38,480 Este de acá se está ejecutando cada dos minutos. 111 00:08:38,720 --> 00:08:43,400 Vean que el usuario que lo está ejecutando es el root, lo que les comentaba antes. 112 00:08:43,490 --> 00:08:49,260 Generalmente suele ser el administrador el que está ejecutando este tipo de cosas y lo que está ocurriendo 113 00:08:49,260 --> 00:08:58,010 es lo siguiente está agarrando esta carpeta de acá la carpeta Bacab y la está comprimiendo, es decir, 114 00:08:58,130 --> 00:09:00,650 está haciendo un respaldo de la carpeta. 115 00:09:01,010 --> 00:09:04,520 Qué les parece si intentamos ver esta carpeta backup? 116 00:09:04,940 --> 00:09:09,470 Se debería encontrar acá en ese directorio ser LS. 117 00:09:10,160 --> 00:09:12,890 Como pueden ver aquí está ASCAP. 118 00:09:13,340 --> 00:09:17,480 Hagamos l.s. nuevamente menos para ver si hay algo oculto. 119 00:09:17,510 --> 00:09:23,750 No hay nada, sólo tenemos una nota, le damos la nota y se nota a mí mismo. 120 00:09:23,810 --> 00:09:26,750 Cualquier cosa aquí va a ser respaldada. 121 00:09:27,140 --> 00:09:34,010 Entonces, ahora cómo puedo hacer yo para que a partir de esta información que tengo pueda escalar privilegios? 122 00:09:34,250 --> 00:09:44,150 Nosotros vamos a estar ocupando algo llamado vuelcas por esto hechos, porque vean esto de acá cuando 123 00:09:44,150 --> 00:09:45,740 yo estoy haciendo mi respaldo. 124 00:09:46,130 --> 00:09:50,570 Si se fijan, se está creando haciendo uso de este asterisco. 125 00:09:50,690 --> 00:09:57,650 Recordemos que el asterisco suele referirse a todo el asterisco es un wildcard que ayuda a generalizar 126 00:09:57,770 --> 00:09:58,760 todo en general. 127 00:09:59,000 --> 00:10:01,850 Yo voy a hacer uso de esto, ya que es vulnerable. 128 00:10:01,880 --> 00:10:07,100 Cuando tenemos el wildcard ya van a ver cómo logró ejecutar una escala de privilegios. 129 00:10:07,100 --> 00:10:13,250 Con esto primero le voy a enseñar cómo podemos okupar tar para poder ejecutar comandos mientras se está 130 00:10:13,250 --> 00:10:20,060 comprimiendo un archivo para ver cómo podemos hacer esto, vamos a ir a nuestra carpeta de águila y 131 00:10:20,060 --> 00:10:24,930 crearemos los siguientes archivos 1, 2, 3, 4, 5, 6. 132 00:10:25,280 --> 00:10:29,290 Luego vamos a decirlo, el siguiente estar c.f.. 133 00:10:29,810 --> 00:10:37,550 Luego vamos a decir que quiero que me comprima todos estos archivos de arriba dentro de un archivo llamado 134 00:10:37,610 --> 00:10:45,800 Números óttar y de este lado voy a pasar todos los archivos que van a ser comprimidos entonces o estos 135 00:10:45,860 --> 00:10:55,490 archivos se comprimen dentro de números total, después de menos checkpoint igual a 1 y ahora vamos 136 00:10:55,490 --> 00:11:03,980 a decir menos Checkpoint Activity igual a ejecutar el siguiente comando. 137 00:11:04,040 --> 00:11:05,540 Quiero que ejecute patch. 138 00:11:05,870 --> 00:11:08,590 Entonces vean que va a pasar esto. 139 00:11:08,690 --> 00:11:15,510 Yo lo voy a hacer también con sudo para que la Shell que me va a devolver sea root. 140 00:11:15,890 --> 00:11:18,920 Una vez más examinemos lo que estamos haciendo este lado. 141 00:11:19,610 --> 00:11:27,710 Voy a ejecutar con permisos de superusuario el comprimir los siguientes archivos dentro de un archivo 142 00:11:27,710 --> 00:11:29,210 llamado números pentotal. 143 00:11:29,900 --> 00:11:36,770 Estoy creando un checkpoint en el proceso y digo que es igual a 1 y luego estoy diciendo que en el checkpoint 144 00:11:36,800 --> 00:11:39,270 va a ejecutar lo siguiente va a ejecutar Patch. 145 00:11:39,710 --> 00:11:46,640 Si quieren ver un poco más de información de los parámetros que puede tomar TAR simplemente pueden acceder. 146 00:11:47,000 --> 00:11:54,910 Estar menos en la parte de más arriba, pueden encontrarlo del c.f. y por acá abajo pueden verlo del 147 00:11:54,920 --> 00:11:59,000 checkpoint a que tenemos menos menos checkpoint igual a un número. 148 00:11:59,300 --> 00:12:05,360 Nos muestra mensajes de progreso cada cierto número de récords y después tenemos el check in action 149 00:12:05,390 --> 00:12:08,320 que nos ayuda a ejecutar una acción en cada checkpoint. 150 00:12:08,600 --> 00:12:14,510 Así que ahora la acción que va a ser ejecutada es la de Bach y esto lo va a estar ejecutando. 151 00:12:14,510 --> 00:12:19,390 Como en el robot van a ver como automáticamente pasó de ser el usuario Kali hacia el robot. 152 00:12:19,550 --> 00:12:21,170 Así que vamos a presionar Enter. 153 00:12:21,330 --> 00:12:26,880 Necesito proveer la contraseña de Cali porque aquí estoy ejecutándolo con sudo Kali. 154 00:12:27,050 --> 00:12:32,270 Un pequeño problema por acá dice que no ha reconocido la opción Activity. 155 00:12:32,960 --> 00:12:40,200 Y es que viéndolo aquí en la derecha podemos ver que es acción activity palabras un. 156 00:12:41,290 --> 00:12:42,720 Así que auction por acá. 157 00:12:43,320 --> 00:12:43,930 Excelente. 158 00:12:44,240 --> 00:12:49,040 Se supone que lo que yo estaba haciendo era comprimir los archivos. 159 00:12:49,250 --> 00:12:53,570 Por qué si yo estaba comprimiendo los archivos terminé siendo el root? 160 00:12:54,140 --> 00:13:00,680 Eso es gracias a que añadir checkpoints y a la hora de encontrarme con Check Point yo mandé a ejecutar 161 00:13:00,680 --> 00:13:01,040 esto. 162 00:13:01,580 --> 00:13:07,050 Entonces así logré ser root y si nosotros hacemos l.s., vamos a ver que se creó el archivo. 163 00:13:07,070 --> 00:13:08,220 Números en total. 164 00:13:08,450 --> 00:13:10,670 Como pueden ver, aquí está números contar. 165 00:13:11,150 --> 00:13:16,580 Entonces pasaron dos cosas, se comprendieron mis archivos y también logré ser root. 166 00:13:17,270 --> 00:13:23,030 Ahora que tenemos la idea de cómo funciona esto, vamos a hacer la escala de privilegios para Android. 167 00:13:23,390 --> 00:13:28,070 Pero si voy a escalar privilegios, pensemos en qué comando va a ser ejecutado. 168 00:13:28,430 --> 00:13:34,520 Yo necesito que se ejecute el comando que me permita tener una reversal, pero necesito hacerlo desde 169 00:13:34,520 --> 00:13:41,020 acá diciendo exec, iguala por acá, escribir aquello que me va a dar la reversar. 170 00:13:41,390 --> 00:13:51,750 Podría intentar ocupar la sintaxis que aprendieron acerca de net, que era en ese Paãs y luego la dirección 171 00:13:51,750 --> 00:13:55,010 y el puerto, pero van a ver que no funciona en este caso. 172 00:13:55,380 --> 00:13:59,370 Y la razón por la cual no funciona es porque no reconoce este parámetro. 173 00:13:59,780 --> 00:14:02,180 Lo podemos probar rápidamente. 174 00:14:02,700 --> 00:14:05,810 Solo voy decir esto y van a ver que tenemos problemas como el menú. 175 00:14:06,710 --> 00:14:09,320 Si se fijan, dice opción inválida menos. 176 00:14:09,600 --> 00:14:10,820 No lo puedo utilizar. 177 00:14:10,880 --> 00:14:16,700 Entonces aquí no voy a poder obtener un ayer por el método convencional de Netscape. 178 00:14:17,030 --> 00:14:20,240 La sintaxis del ataque de la sección pasada no me va a ayudar. 179 00:14:20,420 --> 00:14:23,120 Sin embargo, eso no quiere decir que todo esté perdido. 180 00:14:23,210 --> 00:14:29,630 Aún hay esperanza y esa esperanza la encontramos en el uso de una nueva herramienta llamada MSF. 181 00:14:29,800 --> 00:14:33,430 Bueno, esta herramienta vamos a ver cómo utilizarla en la próxima clase.