Wifinetic
Wifinetic es una máquina Linux de dificultad fácil que presenta un desafío de red intrigante, centrándose en la seguridad inalámbrica y la monitorización de la red. Un servicio FTP expuesto tiene habilitada la autenticación anónima que nos permite descargar los archivos disponibles. Uno de los archivos es una copia de seguridad de OpenWRT que contiene la configuración de la red inalámbrica que revela una contraseña del punto de acceso.
El contenido de los archivos shadow o passwd revela además los nombres de usuario en el servidor. Con esta información, se puede llevar a cabo un ataque de reutilización de contraseñas en el servicio SSH, lo que nos permite obtener un punto de apoyo como usuario netadmin.
Usando herramientas estándar y con la interfaz inalámbrica proporcionada en modo de monitorización, podemos forzar brutamente el PIN WPS para el punto de acceso para obtener la clave precompartida (PSK). La frase de contraseña se puede reutilizar en el servicio SSH para obtener acceso root en el servidor.
Reconnaissance
Realizaremos un reconocimiento con nmap para ver los puertos que están expuestos en la máquina Wifinetic. Este resultado lo almacenaremos en un archivo llamado allPorts.
A través de la herramienta de extractPorts, la utilizaremos para extraer los puertos del archivo que nos generó el primer escaneo a través de Nmap. Esta herramienta nos copiará en la clipboard los puertos encontrados.
Lanzaremos scripts de reconocimiento sobre los puertos encontrados y lo exportaremos en formato oN y oX para posteriormente trabajar con ellos. En el resultado comprobamos que se encuentran abiertos el servicio SSH y FTP.
Transformaremos el archivo generado targetedXML para transformar el XML en un archivo HTML para posteriormente montar un servidor web y visualizarlo.
Accederemos a http://localhost y verificaremos el resultado en un formato más cómodo para su análisis.
FTP Enumeration
Accederemos al FTP autenticándonos con el usuario anonymous que en el escaneo con Nmap comprobamos que podíamos acceder. Al revisar el contenido del FTP, nos encontramos con varios archivos los cuales nos descargaremos en nuestro equipo local.
Initial Access
Information Leakage
Una vez descargado los archivos, nos montaremos un servidor web para visualizar el contenido de destos archivos a través del navegador.
En estos primeros archivos, no visualizamos ninguna información de suma importancia. Lo único destacable que podemos sacar es el nombre del usuario samantha.wood93@wifinetic.htb.
Revisando los otros dos documentos que teníamos, solamente logramos sacar un nombre más de olivia.walker17@wifinetic.htb.
También disponemos de un compromido llamado backup-OpenWrt-2023-07-26.tar. Descomprimiremos el archivo para visualizar el contenido que tiene el archivo. Revisando la estructura, parecen haber varios archivos de configuración y documentación interesante que deberemos investigar.
Por un lado disponemos de un archivo llamado passwd el cual contiene nombres de uusarios. Estos usuarios nos lo guardaremos en un archivo users.txt para disponer de un listado de posibles usuarios.
Revisandon los diferentes archivos de configuración, nos encontramos con el siguiente archivo en la siguiente ruta etc/config/wireless el cual contiene configuración de dispositivos Wireless. Entre la configuración nos aparece una contraseña.
Probaremos de validar si estas credenciales sirven para algún usuario de los que disponemos. Verificamos que el usuario netadmin sí son válidas para acceder al SSH.
Comprobamos que podemos acceder correctamente al SSH y visualizar la flag de user.txt.
Privilege Escalation
Abusing an AP's WPS to get the root password (reaver)
Revisando al usuario netadmin el cual disponemos de acceso, comprobamos que dispone de una capabilitie de reaver.
Revisamos que efectivamente podemos ejecutar el binario de reaver sin problemas.
Revisamos las interfaces de red que disponía el equipo y comprobamos que hay una llamada mon0 que parece ser de monitorización por el nombre.
El comando iw dev en Linux se utiliza para mostrar las interfaces inalámbricas disponibles en tu sistema y la información asociada a ellas. Entre la información recopilada, nos encontramos que hay una interfaz que actúa como AP (wlan0) y otra como cliente (wlan1)
A través de reaver realizaremos un ataque de fuerza bruta sobre el AP para encontrar la contraseña WPA/WPA2 del AP. Verificamos que hemos logrado obtener la contraseña del AP.
Probaremos de acceder con estas nuevas credenciales al usuario root y comprobamos que podemos acceder y visualizar la flag de root.txt.
Última actualización
¿Te fue útil?