1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA PYSCHO (Fuzzing Parametros VULN WEB LFI con FUZZ Pivoting User PrivEsc {python3 paw.py})
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
      • MAQUINA FRUITS (FUZZING de parámetros LFI BRUTEFORCE password PRIVESC binario FIND)
Powered by GitBook
On this page
  1. Proving Ground Practice and Play
  2. Writeup

MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)

PreviousMAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +NextMAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)

Last updated 2 months ago

Hago un ping para verificar si tengo conexión con la maquina.

Luego con NMAP voy realizar un escaneo para ver los puertos que estan abiertos / disponibles en la maquina.

La herramienta me encontró 2 puertos abiertos ' el 22 y el 80', ahora ejecuto unos scripts básicos de reconocimiento para ver que esta corriendo en los 2 puertos como también ejecuto una seria de scripts que me van a determinar la versión de estos servicios.

Ya terminado el escaneo paso a realizar la búsqueda de posibles vulnerabilidades de estos puertos ejecutando con nmap unos scripts de vuln.

Ya con estos datos paso a realizar un reconocimiento del servicio web ya que en el puerto 22 no puedo acceder por falta de credenciales.

El primer paso es ver el informe de nmap, acá tengo un apache de versión 2.4..41 donde también al parecer hay una web llamada CODOLOGIC.

Luego con whatweb veo las tecnologías que corren en el sitio.

Ingreso al sitio web y con la herramienta wappalyzer también veo un poco mas las tecnologías que están corriendo.

Ya dentro y realizando un reconocimiento de ella, con gobuster voy a buscar directorios ocultos dentro de la web.

Gobuster encontró 5 sitios donde podemos ingresar, así que adentrando a cada una la mas interesante es que tengo un panel de administración.

En una parte del reconocimiento del sitio observo que el usuario admin realizo un comentario por ende admin es un usuario del sitio.

En el panel de sesión al buscar por google probé las credenciales por defecto y funcionaron haciendome ingresar como usuario admin.

Ya están dentro observo la versión del sitio web 'versión 5.1.105', también realizo un reconocimiento para ver los posibles vectores de ataques, como subida de archivos etc.

Con searchsploit voy a buscar si existe algún exploit para este servicio web.

Segun searchsploit esta version es vulnerable a un RCE por ende me descargo el exploit y veo como se esta ejecutando el mismo.

Esta vuln lo que hace es subir una revershell en forma de imagen y luego a través de la url donde se aloja la imagen va a estar la rv.

Como el exploit no funciono automaticamente, pase a realizarlo de forma manual, en este caso hay un apartado donde puedo subir una imagen o logo.

Acá lo que hice fue subir un archivo a modo de prueba para ver si me sube un archivo .php ya que el lenguaje del programa esta corriendo en PHP, una vez que se subió pude ver que fue exitosa la carga. Por ende realizo un revershell en php y la subo.

Me dirijo a la ruta donde me indicaba el exploit que se sube la imagen y en otra consola me pongo en escucha con netcat.

La revershell funciona y ahora estoy dentro de la maquina siendo usuario www-data, contiuamanete realizo un reconocimiento de la maquina.

Solo tengo 2 usuarios root y offsec. Como no encontraba la forma de pivotar al usuario offsec, con la utilidad llamada LINPEAS realice un reconocimiento mas completo de la maquina.

Al parecer hay un archivo de configuracion que guarda una contraseña.

Prueba esta contraseña con el usuario offsec y no funciono, luego la pruebo con root y mi herramienta me indica que son validas.

A través del puerto 22 me logue como root y ahora tengo acceso privilegiado a la maquina.

💻