1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA PYSCHO (Fuzzing Parametros VULN WEB LFI con FUZZ Pivoting User PrivEsc {python3 paw.py})
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
      • MAQUINA FRUITS (FUZZING de parámetros LFI BRUTEFORCE password PRIVESC binario FIND)
Powered by GitBook
On this page
  1. Proving Ground Practice and Play
  2. Writeup

MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an

PreviousMAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')NextMAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP

Last updated 2 months ago

Verificación con la maquina victima TTL >> 61 = LINUX

Escaneo de puertos con nmap

`nmap -p22,80,33017 -sCV 192.168.221.231 -oN fullscan.txt

Realizo un reconocimiento, como no tengo credenciales no puedo acceder por ssh.

Veo el servidor web que corren tanto en el puerto 80 como en el 33017, con whatweb veo las tecnologías que corren en los servidores.

whatweb 192.168.221.231:33017

whatweb 192.168.221.231

En el puerto 80 veo un panel de sesión.

Dentro de este panel con wappalizer veo las tecnologías también.

Realizo una búsqueda de directorios con feroxbuster.

Me encontró algunas rutas con estados 200.. el mas interesante es el /register.

Dentro de esta web, me creo un usuario random para ver que es lo que puedo realizar.

Realizo la confirmación de la cuenta, esto aparece cuando me logue en el panel de sesión.

Coloco el email pero no tengo respuesta cuando quiero loguearme.

En esta parte utilize burpsuite para ver que es lo que se esta ejecutando que no me deja acceder con mi usuario.

Una vez que capture la respuesta observo que mi username en este caso "PWNED" no me esta confirmando el acceso >>> "confirmed; false".

Para ello dentro del REQUEST modifique La parte donde dice "USER" con la palabra "CONFIRMED", para que esta realice la confirmación de mi USUARIO.

Una vez modificado lo dicho le doy a "SEND" y se puede observar que el apartado "confirmed" paso de "FALSE A TRUE"

Terminado esto, me logueo con las credenciales que cree y puedo acceder sin problemas al sitio web.

Una vez aqui veo que tengo un panel para subir archivos.

Creo una revershell en ruby pero al clickearle lo que me realiza es una descarga del mismo archivo.

ACA VEO QUE HAY UNA BARRA "/" POR lo que creo que esto esta ejecutandose desde la raiz.

Observado la URL veo que se esta ejecutando el parametro file > "archivo" o sea en este caso el archivo es "r.rb".

Cambie la url para ver si puedo leer el /etc/passwd y me resulto exitoso ya que me descargo el fichero.

Tengo un usuario llamado remi que no es poca cosa, como puedo ejecutar comandos, voy a la ruta /home/remi del usuario para ver su contenido.

Lo interesante es que tengo la carpeta .ssh disponible por ende ingreso allí y me topo con una carpeta llamada keys que contiene la id-rsa.

Como puedo acceder a la carpeta ssh voy a crearme mi propia ID_RSA para subirla a la maquina victima ya que también se puede hacer eso.

ssh-keygen -t rsa -b 2048 -f ~/.ssh/id_rsa_victima -q -N ""

Este comando me crea las id_rsa para acceder sin contraseña.

Al la id_rsa_victima.pub la nombro authorized_keys, la cual se va a subir a la carpeta .ssh pero antes se le da permisos 600.

Una vez subido el archivo, me conecto a través del ssh como remi.

Realizo un reconocimiento de la maquina.

Como se vio en la web, en la carpeta .ssh donde se encuentran las id_rsa, había una llamada root.

Me dirijo hacia allí y veo que es una id_rsa, por ende me voy a conectar a través del ssh a la maquina proporcionándole esta id_rsa (root)

Si sale este error agregar:

ROOT.

ssh -i root -o IdentitiesOnly=yes

💻
http://192.168.221.231/?cwd=&file=r.rb&download=true
http://192.168.221.231/?cwd=../../../../../etc=passwd&download=true
root@127.0.0.1