1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
Powered by GitBook
On this page
  1. DOCKERLABS
  2. Writeup

MAQUINA WALKINGCMS

PreviousWriteupNextMAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')

Last updated 29 days ago

MAQUINA WALKINGCMS

Con nmap hacemos un escaneo de puertos para ver los puertos que se encuentras abiertos.

En este caso nmap nos reporto que el puerto 80 esta abierto solamente, aquí donde corre un servicio http.

Utilizamos unos scripts propios de nmap para enumerar el puerto 80. Unos de los scripts detecto que estamos frente a un wordpress y encontró una ruta llamada wp-login.php.

Entramos a la directorio wordpress, ya que si solo entramos con la ip nos muestra la pagina de apache por default.

Con gobuster hacemos un escaneo de directorio para encontrar rutas ocultas dentro del sitio web.

Como solo hay una ruta debemos buscar otros subdirectorios, así que ahora vamos a hacer el escaneo a la ruta wordpress.

Nos vamos a centrar en la ruta /xmlrpc.php y /wp-login.php. Con whatweb vemos la versión del WorddPress 6.5.3

Bien ahora vamos a usar la herramienta wpscan para enumerar algunos plugins, usuarios y algún que otra vulnerabilidad.

El resultado:

WPSCAN nos muestras mas cosas, en este caso tenemos un usuarios llamado Mario, un directorio llamado /upload, un archivo llamado xml-rpc (igual al que encontró gobuster) y los temas que usa el wordpress.

Ahora buscando un poco de información vemos que el xmlrpc.php es vulnerable a una (external entity injection) o XXE.

DESCRIPCION RAPIDA:

Una vulnerabilidad que permite a un atacante incluir una entidad externa en un documento XML procesado por una aplicación.

El atacante inserta una entidad externa en el XML, que luego es procesada por el parser XML de la aplicación.

Para ello vamos a ingresar a la ruta donde se encontraba el xmlrpc.php

Nos dice que solo acepta peticiones POST, lo que vamos hacer ahora es realizar una petición POST pero con cURL.

curl -X POST 'http://172.17.0.2/wordpress/xmlrpc.php'

La opción -X se utiliza para llamar o cambiar al método que se quiere utilizar.

Nos copiamos el contenido y lo guardamos. Seguido de eso buscamos información de como poder hacer la inyección XXE.

Colocamos estos parámetros dentro de un archivo llamado exploit.xml.

EXPLICACION DE LO QUE HACE:

La línea `<value><string>system.listMethods</string></value>`:

  • Es parte de una estructura XML que especifica un valor de tipo cadena de texto.

  • En el contexto de XML-RPC, es probable que represente una llamada al método `syste

Como resultado nos vuelve una lista de métodos que soporta XML-RPC en el servidor.

Buscamos el siguiente apartado wp.getUsersBlogs para hacerle fuerza bruta haciendo lo siguiente:

En un archivo xml vamos a ingresar esto:

<?xml version="1.0" encoding="UTF-8"?>

<methodCall>

<methodName>wp.getUsersBlogs</methodName>

<params>

<param><value>\{\{your username\}\}</value></param>

<param><value>\{\{your password\}\}</value></param>

</params>

</methodCall>

Como tenemos un usuario llamado vamos a suplantar el "your username por Mario" y la contraseña cualquiera porque no tenemos.

Lo guardamos en un archivo llamado cred.xml y volvemos a usar el comando curl.

El resultado nos dice que es incorrecto, pero como podemos hacer fuerza bruta ya que tenemos disponible el método "wp.getUsersBlogs", usamos wpscan para hacerlo.

Esperamos y tenemos la contraseña.

Vamos al directorio /wp-login.php y entramos con estas credenciales.

Una vez adentro vamos a realizar estos pasos.

1 Vamos a plugins

2 vamos a plugins code editor

3 Cambiamos el tema a theme editor

4 Seleccionamos theme_editor.php

5 Borramos el contenido de theme_editor y lo suplantamos por nuestra RV.php de pestestmokey.

6 Guardamos el cambio en "Update file"

7 Nos ponemos en escucha con netcat

8 Y actualizamos la pagina, esto nos devuelve la conexión al netcat

Una vez adentro somo el usuario www-data, hacemos el tratamiento de la tty. Ahora buscamos la manera de poder tener los máximos privilegios dentro de la maquina.

Buscamos binarios SUID y encontramos uno interesante llamado /env

En gtfobins encontramos la manera de poder explotar este binario, colocando el siguiente comando.

Así que vamos al directorio donde se encuentra /env y lo ejecutamos

SOMOS ROOT.

wpscan --url --enumerate vp,u

INFORMACION:

Con el comando curl vamos a enviar el archivo exploit.xml, usamos la misma linea solo que le agregamos el parámetro ""

🐋
http://172.17.0.2/wordpress
https://ms-official5878.medium.com/xml-rpc-php-wordpress-vulnerabilities-
9a7d66068bde
-d@exploit.xml