MAQUINA ASUCAR ( WORDPRESS + BRUTEFORCE 'HYDRA' + PRIVESC 'PUTTYGEN')
Realice un escaneo de puertos y servicios con una herramienta creada por mi que hace UN escaneo de puertos, luego realizar un reconocimiento con scripts básicos y luego ver la versión del servicio y por ultimo realizar un escaneo de vulnerabilidades.
Ya terminada veo que tengo solo 2 puertos el 22 ssh de versión reciente y el puerto 80 http donde corre un wordpress de versión de 6.5.
Con whatweb voy a verificar las tecnologías que corren en la pagina.
Ahora que me encuentro dentro de la web, con la extensión wappalyzer veo mas info sobre las tecnologías.
Veo que la web no se ve muy bien que digamos, así que haciendo un reconocimiento veo que que hay hay un host virtual llamado asucar.dl lo cual lo voy a agregar a mi /etc/hosts
Encontré varias cosas como el nombre de la gerente o algo así y demás, pero no va por este lado, así que procedo a realizar una búsqueda de directorios con gobuster.
La herramienta varios contenidos así que manos a la obra.
Tengo un panel de login la cual voy a probar algunas credenciales por defecto, pero no tengo acceso tampoco realizando una SQLi.
En el directorio trackback me indica que necesita un ID ¿? así que no tengo idea xD.
También tengo un xmlrpc.php la cual se me dio por realizar un xxe.
Con wpscan voy a ver si me encuentra algo interesante como plugins, usuarios, etc.
No me encontró plugins, pero me encontró un usuario llamado wordpress, así que probé este usuario en el panel de login.
Al parecer es valido según el error que apareció al colocar una password random.
Realice un fuerza bruta con wpscan para ver si encontraba la password del user wordpress pero no la encontró.
Después me percate que no me encontró plugins y mire el código fuente de la web inicial y por ahí vi algo de plugins lo cual me pareció raro.
Así que con curl grepie por la palabra plugins y se existen plugins y no se por wpscan no me lo encontró.
Veo que es vulnerable a un LFI así que manos a la obra a probar si funciona.
Probé esta PoC y si funciono.
Leyendo el /etc/passwd veo que hay un usuario llamado curiosito, así que lo guarde en mi bloc de notas.
Probé si funcionaban en el panel de wordpress.
Pero nada.
Luego al pensar un poco y no encontrar nada, realice un ataque de fuerza bruta al usuario curiosito en el servicio ssh, la cual me encontró una password xD.
En este caso use HYDRA y MEDUSA.
Con estas credenciales me logue para acceder a la maquina, como user curiosito.
Ya dentro realize un reconocimiento del sistema para buscar la forma de escalar priv para ser root.
Haciendo un sudo -l veo que puedo acceder ejecutar como root el binario puttygen, la cual con ayuda de chat gpt pude acceder como root realizando los siguientes pasos.
puttygen: Ejecuta el generador de claves PuTTY.-t rsa: Especifica que se generará una clave del tipo RSA.-b 2048: Establece el tamaño de la clave en 2048 bits.-O private-openssh: Define que se exportará en el formato de clave privada de OpenSSH.-o ~/.ssh/pwned: Indica el archivo de salida donde se guardará la clave privada generada.
-L: Exporta la clave pública desde el archivopwned.>> ~/.ssh/authorized_keys: Añade la clave pública al archivoauthorized_keys, permitiendo que se use para la autenticación.
sudo: Ejecuta el comando con privilegios de supe usuario./home/curiosito/.ssh/pwned: Especifica la ruta de la clave privada original.-o /root/.ssh/pwned: Copia la clave privada a la carpeta del usuario root.
-o /root/.ssh/authorized_keys: Guarda la clave pública en el archivoauthorized_keysde root.-O public-openssh: Especifica que se exporta la clave pública en formato OpenSSH.
ssh: Inicia una sesión SSH.-i /home/curiosito/.ssh/pwned: Utiliza la clave privada especificada para la autenticación.root@localhost: Intenta conectarse como usuario root en el host local.
Last updated