MAQUINA APOLO ( FUZZING WEB + SQLMAP url-cookie + cracking passwd user + Group shadow)
Enumeración de puertos y servicios
nmap -p- --open --min-rate 2000 -n -Pn -sSCV 172.17.0.2 -oN fullservice.txt
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.58 ((Ubuntu))
|_http-title: Apple Store
|_http-server-header: Apache/2.4.58 (Ubuntu)
MAC Address: 02:42:AC:11:00:02 (Unknown)Enumeración de directorios con NMAP.
nmap -p80 --script=http-enum.nse 172.17.0.2 -oN directory.txt
PORT STATE SERVICE
80/tcp open http
| http-enum:
| /login.php: Possible admin folder
| /img/: Potentially interesting directory w/ listing on 'apache/2.4.58 (ubuntu)'
| /uploads/: Potentially interesting directory w/ listing on 'apache/2.4.58 (ubuntu)'
|_ /vendor/: Potentially interesting directory w/ listing on 'apache/2.4.58 (ubuntu)'
MAC Address: 02:42:AC:11:00:02 (Unknown)Se detecto un Login.php y Registrer.php
Al probar la funcionalidades detectamos que el panel de búsqueda es vulnerable a SQLi.
La inyección ' UNION SELECT 1,2,3,4,5 -- (o variantes como ' union select 1 2 3 4 5) es una técnica clásica de reconocimiento en ataques de SQL Injection (SQLi). Sirve para determinar cuántas columnas tiene la consulta original y si la inyección es explotable mediante UNION SELECT.
Al ver si hay mas imagenes y vi que se agrego una imagen mas y se alojo los numeros "2 y 3" de las columnas
Payload:
Payload:
Se toma las peticiones que se hacen con burpsuite donde hay 2 url donde que se le agregan el parámetro "search"
En cada una se le agrega un cookie
Con sqlmap hacemos un dump de los hashes.
Tome el hash de admin y con john creackeamos su hash y luego ingrese a la panel de admin.
En una sección hay un panel donde se puede subir archivos PHP.
Como no permite subir archivos php, con un Burpsuite Intruder y una wordlist de extensiones php logre detectar una extensión valida.
En la ruta /upload se aloja la RV encontrada, luego me pongo en escucha con netcat y acceso al archivo sh.phtml
Dentro de la maquina existe un usuario luisillo_o, en mi caso soy www-data por lo cual hay busco la manera de pivotear al usuario.
No existe SSH para hacer fuerza bruta, pero se puede hacer fuerza bruta a la password dentro de la maquina con una herramienta.
Subo el rockyou y la herramienta suForce al directorio /tmp de la maquina victima.
Luego de un tiempo encontré la password de luisillo_o, seguido accedí a la maquina como tal
Ahora pase a buscar la forma de acceder como root, para ellos búsqueda varias formas pero no encontré nada, en este caso use el comando ID y vi que pertenece al grupo shadow lo que me indica que este tiene visibilidad con el /etc/shadow.
Con john creakeo el hash de luisillo.
2DA FORMA DE VER LA BASE DE DATOS EN LA WEB
Al colocar el payload -> ' union select 1,2,3,4,5 para ver las columnas se ve abre otra imagen donde almacena lo números 2 y 3
Reemplace el 2 por un NULL lo cual este me lo borro de la imagen.. esto indica que es posible ver información sensible en la pagina.
Ahora le pase el comando versión() donde pude ver mediante la web que versión de la db tengo enfrente, en este paso aproveche para verificar el nombre de la base de datos, etc.
Esa sentencia está intentando extraer los nombres de las tablas de la base de datos actual y mostrarlos en la segunda columna del resultado.
Extrae y concatena los nombres de todas las columnas de la tabla users que pertenece a la base de datos apple_store, y los muestra en la segunda columna del resultado.
Esa sentencia intenta extraer directamente los valores de las columnas id, username y password de la tabla users dentro de la base de datos apple_store, y los muestra en las primeras tres columnas del resultado.
Last updated