DANCING

HACK THE BOX
DANCING
TIER 0
STARTING POINT

Introducción

Dancing es la tercera máquina de la serie Starting Point (Tier 0) en Hack The Box. En este escenario, dejamos atrás los protocolos Telnet y FTP para adentrarnos en el ecosiguiente pilar de la enumeración de servicios: SMB (Server Message Block). El objetivo principal es aprender a enumerar recursos compartidos en red e identificar configuraciones que permiten el acceso a información sensible sin necesidad de credenciales (Null Sessions).

Fase de Reconocimiento

El primer paso es realizar un escaneo de puertos para identificar qué servicios están expuestos en el objetivo.

nmap -p- --open -Pn -vvv -n -sSCV -T 5 {ip objetivo} -oN scan

Explicación del nmap :

-p-: Escanea todos los puertos (del 1 al 65535). Por defecto, nmap solo escanea los 1000 más comunes. Esto es vital para encontrar servicios «escondidos» en puertos inusuales.

--open: Filtra los resultados para mostrar únicamente los puertos con estado abierto. Ignora los cerrados o filtrados, limpiando la salida.

-Pn: Salta la fase de descubrimiento de host (ping). Nmap asume que el objetivo está encendido. Es fundamental si el servidor tiene un firewall que bloquea paquetes ICMP.

-n: No realiza resolución DNS. Esto ahorra tiempo al evitar que nmap intente buscar el nombre de dominio de la IP objetivo.

-T 5: Establece la plantilla de tiempo en Insane. Es el nivel más rápido.

-sSCV: Este es un combo de tres comandos en uno:

  • sS (TCP SYN Scan): Escaneo «semi-abierto». Envía un paquete SYN y espera un SYN/ACK, pero no completa la conexión (no envía el último ACK). Es rápido y eficiente.
  • sC (Default Scripts): Ejecuta scripts automáticos de la librería NSE (Nmap Scripting Engine) para detectar vulnerabilidades comunes o configuraciones interesantes.
  • sV (Version Detection): Interroga al puerto abierto para determinar qué software y qué versión específica se está ejecutando.

-vvv: Nivel de triple verbosidad. Hace que nmap te informe en tiempo real de cada puerto que encuentra, cada script que inicia y el tiempo estimado de finalización.

-oN scan: Guarda el resultado en formato Normal en un archivo llamado scan. Esto es crucial para consultar los resultados más tarde sin tener que repetir el escaneo.

Resultados del escaneo

Explotación

En muchas redes corporativas, los recursos compartidos se configuran de forma errónea, permitiendo que usuarios sin cuenta (invitados) listen el contenido de las carpetas. Intentaremos una enumeración de recursos compartidos (shares) mediante una «Null Session».

Fase de Explotación

Lógica de Ataque: En muchas redes corporativas, los recursos compartidos se configuran de forma errónea, permitiendo que usuarios sin cuenta (invitados) listen el contenido de las carpetas. Intentaremos una enumeración de recursos compartidos (shares) mediante una «Null Session».

Interacción con el Servicio:

Para interactuar con SMB desde nuestra máquina Linux, utilizaremos la herramienta smbclient. Para ver el uso de smbclient : smbclient –help

1.Listar recursos compartidos: Ejecutamos el comando con el flag -L para ver qué carpetas están disponibles.

smbclient -L {IP_OBJETIVO}

Ahora debemos ver en donde podemos acceder , en este caso es en WorkShares , y una vez dentro ir buscando por los directorios la flag.txt y obtenerla.

Una vez obtenida la flag.txt se guardará en el directorio desde el que hemos realizado la conexión.

← Volver a Writeups