1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA PYSCHO (Fuzzing Parametros VULN WEB LFI con FUZZ Pivoting User PrivEsc {python3 paw.py})
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
      • MAQUINA FRUITS (FUZZING de parámetros LFI BRUTEFORCE password PRIVESC binario FIND)
Powered by GitBook
On this page
  1. DOCKERLABS
  2. Writeup

MAQUINA PYSCHO (Fuzzing Parametros VULN WEB LFI con FUZZ Pivoting User PrivEsc {python3 paw.py})

PreviousMAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})NextPage 4

Last updated 11 days ago

MAQUINA PYSCHO (Fuzzing Parametros - VULN WEB LFI con FUZZ

- Pivoting User - PrivEsc {python3 - paw.py})

Enumere los puertos abiertos dentro de la maquina con nmap.

nmap --open -p- --top-port=100 --min-rate 3000 -n -Pn -sSCV -oN fullservice.txt

--open= me escanea solo los puertos abiertos

-p-= indica que escanee los 65535 puertos

--top-port= que escanee los 100 puertos mas imporantes

--min-rate= para aumentar el envio de paquetes

-n= no quiero que me haga resolucion DNS

-Pn= no quiero que ejecute un ping al host

Identifique con whatweb las tecnologías que corren en el sitio y no encontré nada interesante

Inspeccione el código fuente de la pagina principal de la web, y encontré una cadena de texto interesante.

Con wfuzz ejecute un escaneo en búsqueda de directorios ocultos

wfuzz -c --hc=404,403 -u <ip> -w <wordlist> -t 50

Hay un directorio assets donde allí se aloja una imagen, con algunas herramientas de esteganografía intente ver si contenía algún archivo dentro de ella

binwalk <img>

DATA:

steghide extract -sf background.jpg

exiftool background.jpg

binwalk background.jpg`

strings background.jpg | less

Ahora volvi a buscar directorios ocultos pero ahora use FFUF y cambie la wordlist ya que las que usaba anteriormente no encontaba el archivo que se ve en la imagen

ffuf -u <ip> -w <wordlist> -e php,html,txt -fs 269

Ahora hay un index.php lo que me da paso a saber que la web esta programada en PHP, voy a esa ruta y veo que es la pagina inicial.

Coloque "?" y lo toma como valido, ahora podría la web estar alojando otro parámetro?

Con FUFF busque si contiene algun parametro interesante usando la siguiente sintaxis

# El -fs lo use para que no me muestre el contenido que tiene como size 2596

Logre encontrar este parámetro con nombre "secret", ahora con esto voy dándome una idea por donde podría llegar a ir

Le agregue a la url un valor cualquier para ver si se modifica la web en este caso fue TEST.

Al enviarla la url no se modifica ni tampoco me indica un error.

Con FFuf realice una busqueda de archivos del sisteam con un diccionario, porque? al poder incluir un valor "X" y no recibir un error esto me da una idea de la web podria tener una vulnerabilidad web llamada LFI (local file inclusion)

ffuf -u <ip>/index.php?secret=FUZZ -w <wordlist>/seclists/Fuzzing/LFI/LFI-LFISuite-pathtotest.txt

No te que la herramienta me devuelve varios estos 200 del /etc/group como del /etc/passwd y varios mas, lo cual pase aprobar cada una

Use la ruta /proc/self/status y logre ver el contenido con éxito

Como funciono con éxito leer archivos del sistema, no dude y mire el /etc/passwd donde encontré 2 usuarios "luisillo y vaxei"

Después de esto trate de ver las id_rsa de cada usuario donde logre encontrar el de vaxei

Me copio la id_rsa, luego le di permisos 600 y logre acceder usando ssh dentro de la maquina indicándole el parámetro -i.

Ya dentro de la maquina busque información de ella para saber ante que versión de linux me enfrento.

Dentro de la carpeta vaxei esta el .bash_history donde al leerlo vi el varios pasos que se ejecutaron anteriormente

Ejecute un sudo -l y vi que luisillo puede ejecutar sin contraseña el binario perl, ahora replique lo mismo que esta alojado en el bash history.

sudo -u luisillo /usr/bin/perl -e 'exec "/bin/sh";'

Esto me dio paso a moverme lateralmente al usuario luisillo.

Ahora volví a ejecutar un sudo -l y vi que cualquier usuario también root puede ejecutar python3 y el archivo paw.py.

Me dirige a /opt y observe el contenido del archivo donde encontré una pista en "codigo para ejecutar script". Pero que pasa? este archivo paw.py no se puede modificar ya que pertenece al usuario root, por ende realice lo siguiente.

Copie el archivo paw.py para no hacer cagada, al copiarlo ahora luisillo tiene permisos para modificar este archivo y ya no root.

Ahora modifico el script colocando lo siguiente y lo guardo, luego ejecuto este comando:

sudo -u root /usr/bin/python3 /opt/paw.py y ahora logre obtener como root a la maquina

import os

print( import ('os').system('bash'))

En el escaneo de nmap en el puerto 80 hay un titulo de la web "4you" por lo que se me dio agregarlo al /etc/host. Una vez hecho esto volví a la web pero indicándole la ruta y logre ver otro contenido de la web

ffuf -u -w <wordlist>

🐋
http://4you
http://4you/index.php?FUZZ