Man in the middle

Introducción

Se ha realizado el pentest sobre la infraestructura de Reto_Infra.rar, con el objetivo de identificar vulnerabilidades técnicas y hacer simulaciones de explotación de las mismas de forma controlada, y validar el cumplimiento de buenas prácticas de seguridad en entornos que manejan datos sensibles. El análisis comprenderá dos máquinas en este caso en formato .ova. Los nombres de las máquinas son Lubuntu y Retillo

El presente resultado final permitirá contar con evidencia concreta sobre el estado de la infraestructura, y recomendaciones priorizadas de mejora.

Scope

  • Reto_Infra.rar con hash: 7838d59404bd2615d1e89fa0c4a59882227d0a80eb5845b0ebe93161fcbeca24

  • Máquina virtual Lubuntu

  • Máquina Retillo

Resumen ejecutivo

Descripción del proyecto y objetivos

El presente informe documenta los hallazgos de una auditoría de seguridad sobre una infraestructura en red interna, compuesta por al menos dos máquinas identificadas como cliente (Retillo) y servidor (Lubuntu) con servicios accesibles. La auditoría tiene como objetivo evaluar la exposición a riesgos de seguridad derivados de las comunicaciones entre ambos nodos, identificar vulnerabilidades críticas y proponer acciones correctivas.

Se han detectado comportamientos que comprometen la confidencialidad de credenciales de acceso, así como una secuencia de mecanismos no autenticados que permiten escalar privilegios hasta el acceso completo al servidor mediante una clave SSH obtenida por port knocking y acceso a un sistema de archivos NFS mal configurado.

RESUMEN EJECUTIVO

1. Introducción

Este informe ejecutivo tiene como finalidad presentar de forma clara y concisa las principales vulnerabilidades detectadas durante la auditoría, enfocándose en su impacto y facilidad de explotación, con el objetivo de alertar sobre los riesgos actuales e impulsar la toma de decisiones correctivas inmediatas.

2. Alcance y limitaciones

Alcance:

  • Reto_Infra.rar con hash: 7838d59404bd2615d1e89fa0c4a59882227d0a80eb5845b0ebe93161fcbeca24

  • Máquina virtual Lubuntu

  • Máquina Retillo

Metodología:

  • Se ha auditado una red interna con una máquina cliente denominada Retillo y un servidor con servicios accesibles.

  • Se ha evaluado el tráfico de red interno, interacciones cliente-servidor, y servicios expuestos tras autenticación.

  • Se contó con acceso al tráfico de red y a algunas credenciales expuestas.

  • Herramientas utilizadas: Wireshark, Nmap, Knocking, montajes NFS.

Limitaciones:

  • No se evaluó el hardening del servidor una vez obtenida la shell.

  • No se comprobó la persistencia post-explotación ni acceso a bases de datos o servicios internos adicionales.

3. Resumen y criticidad de las vulnerabilidades

Vulnerabilidad
Tipo
Criticidad
Riesgo Asociado

Envío de credenciales en texto plano

Falla de confidencialidad

Alta

Robo de credenciales

Página de login accesible sin protección

Autenticación débil

Media

Escalada inicial de acceso

Port knocking sin autenticación

Configuración insegura

Alta

Activación remota de puertos sensibles

Exportación NFS sin control de acceso

Falla de autorización

Alta

Acceso arbitrario a archivos internos

SSH con clave recuperada

Escalada total

Crítica

Acceso completo al servidor

Resumen

Hay una máquina cliente denominada Retillo que constantemente le envía usuario y contraseña al server, dentro de la red interna, pero sin cifrar. Esto es parecido a estar gritando, dentro de casa, nuestro usuario y contraseña. El problema con esto es que pueden haber invitados en casa, y escuchar esta información.

Esta misma información que se envía dentro de la red interna, revela una página de login en el server. Al abrir esta página alojada en el server, ingresamos el usuario y contraseña y accedemos a una página que tiene 3 puertas con numeros. Estas puertas representan puertos del server, y los números nos dicen exactamente que puertos. Utilizando una técnica llamada Knockin "Básicamente tocar las puertas en un determinado orden" se abre un puerto más que tiene un archivo dentro llamado sshkey. Este archivo puede ser utilizado para entrar al server en si.

Analogía

Haciendo un poco una analogía, hay una persona dentro de una casa gritando un usuario y contraseña. Si usamos esas credenciales en la habitación 32013 nos dejará ver un papel que tiene 3 numeros. Si tocamos las puertas de esos números en orden, 7003, 8004 9005 nos abrirán otra puerta llamada nfs que tiene el número 2049. Dentro, hay un cofre que tiene una llave llamada sshkey. Podemos usar esta llave para acceder a la casa principal de este vecindario.

RESUMEN TÉCNICO

1. Introducción

Esta sección describe en detalle los hallazgos técnicos obtenidos durante la auditoría, las herramientas utilizadas, las técnicas aplicadas y el paso a paso de la explotación. Se hace foco en demostrar la viabilidad real de un ataque con bajo nivel de sofisticación.

2. Metodología OWASP

Aunque la auditoría no fue exclusivamente sobre una aplicación web, se identificó una página de login no cifrada que se puede clasificar según OWASP:

  • A02:2021 - Cryptographic Failures: transmisión de credenciales en texto plano.

  • A01:2021 - Broken Access Control: acceso no autenticado a secuencias críticas (login → port knocking → NFS → SSH).

3. Clasificación MITRE ATT&CK

Técnica
ID MITRE
Descripción

Interception of Credentials

T1040

Captura de credenciales transmitidas en texto plano.

Exploit Public-Facing Application

T1190

Uso de login expuesto para acceder a funcionalidades críticas.

Remote Services: SSH

T1021.004

Acceso al servidor mediante clave SSH obtenida.

Valid Accounts

T1078

Uso de credenciales válidas para acceder al sistema.

Mounting Network File System

T1077

Acceso a archivos a través de NFS exportado sin restricciones.

4. Desarrollo técnico

4.1 Herramientas utilizadas

  • Wireshark: análisis de paquetes capturados en la red interna.

  • Nmap: escaneo de puertos visibles y knocking de puertos ocultos.

  • curl y wget: interacción con páginas web del servidor.

  • mount.nfs: montaje de recursos compartidos vía NFS.

  • ssh: acceso remoto al servidor con la clave obtenida.

4.2 Proceso de explotación

  1. Captura de tráfico en red interna con Wireshark: se identificó tráfico repetitivo de la máquina Retillo enviando usuario y contraseña en texto plano luego de realizar un ataque Man in The Middle entre la máquina cliente y la máauina servidor.

  2. Acceso a la página de login del servidor usando estas credenciales.

  3. La página entrega 3 números que corresponden a puertos TCP.

  4. Se realiza port knocking en el orden correcto: 7003, 8004, 9005.

  5. Esto expone el puerto 2049, correspondiente a un servicio NFS.

  6. Se monta el recurso NFS y se encuentra un archivo: sshkey.

  7. Se utiliza esta clave para acceder por SSH al servidor, obteniendo acceso completo.

CONCLUSIONES

El escenario identificado evidencia una cadena de fallos graves en la gestión de seguridad de la red interna. Desde el envío en texto plano de credenciales, hasta configuraciones inseguras en servicios como NFS y SSH, el conjunto de vulnerabilidades permite a un atacante con acceso a la red obtener control parcial del servidor, ya que no se intentó ser root ni escalar privilegios.

Se recomienda de manera urgente:

  • Implementar cifrado (HTTPS/TLS) en todas las comunicaciones internas.

  • Eliminar el port knocking no autenticado o asegurar su implementación con control de origen.

  • Restringir el servicio NFS por IP y autenticación.

  • Rotar todas las claves y revisar configuraciones SSH ya que podrían haber sido descubiertas anteriormente.

El entorno presenta una superficie de ataque crítica, que requiere acciones correctivas inmediatas para evitar accesos no autorizados y pérdida de integridad o confidencialidad de la información.

POC

Man in the middle

Nuestra ip es la 10.0.2.15

Descubrimos con arp-scan la máquina cliente (10.0.2.9) y la máquina server (10.0.2.8)

Con ettercap, realizamos una lista de hosts y confirmamos ambas ips.

Añadimos ambas IPs a target1 y target2 para hacer el envenenamiento.

Antes de ejecutar el envenenamiento, abrimos Wireshark para leer el tráfico.

Activamos el ARP poisoning

Confirmamos

Análisis de tráfico

Veremos en funcionamiento el poisoning (paquetes ARP)

Encontraremos un paquete enviado desde el cliente al servidor. Por el protocolo http un POST.

Al revisar el contenido encontramos credenciales. admin y LaBarbacoa

Si nos dirigimos a la ip del servidor y al puerto 32013 encontraremos una página de login.

Knocking

Al ingresar las credenciales anteriormente mencionadas, encontraremos estas imágenes. Y un link con un video a youtube no documentado en este informe.

Si lees esta línea te invito un café

Realizamos un escaneo de puertos con nmap en el orden que aparece anteriormente mencionado.

Escaneamos todos los puertos

Exportamos el escaneo

Al abrirlo encontraremos el puerto 32013 que podemos confirmar no estaba abierto anteriormente.

Acceso a NFS

Montamos el nfs compartido en nuestra máquina

Revisamos los archivos

Accesso con ssh

Realizamos el acceso al server a través de ssh

PreviousT1043 - Exfiltración de Credenciales Mediante Protocolos de Red InsegurosNextGreenbone (openvas) (WIP)

Last updated