MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je

Realice la fase de enumeración utilizando nmap para ver los puertos abiertos, sus servicios y sus versiones.

nmap -A --min-rate 3000 -Pn -oN 192.168.163.179

El escaneo solo encontró el servidor web que corre por el puerto 80.

Al ejecutar whatweb para ver las tecnologías obtengo una redirección a http://dc-2/

A este host lo agrego a mi /etc/hosts, luego ejecute whatweb y obtengo la siguiente respuesta.

Observe que la dirección url contiene un CMS wordpress 4.7.10.

Al inspeccionar el sitio web, pude observar un comentario interesante donde indica que la contraseña de los usuarios no están contempladas en el rockyou y para eso hay que utilizar la herramienta cewl.

Con wpscan realice una enumeración de posibles usuarios, temas y plugins del wordpress.

wpscan --url http://dc-2 --enumerate u,vt,vp

Wpscan encontro 3 usuarios > jerry, tom y admin.

Seguido a esto realice una enumeración de directorios ocultos con gobuster.

Finalizado el escaneo lo interesante que encontro fue el panel de sesion > http://dc-2/wp- login.php

Volviendo al sitio web hice uso de la herramienta cewl la cual funciona de la siguiente manera:

"CREA UN DICCIONARIO TOMANDO TODAS AS PALABRAS DE LA PAGINA WEB INICIAL"

cewl -w word.txt http://dc-2

Ya teniendo el diccionario, lo utilice para verificar si algunas de estas palabras es utilizada como contraseña para los usuarios.

wpscan --url http://dc-2/ --usernames tom,admin,jerry --passwords word.txt

Wpscan detecto la contraseña tanto para jerry como para tom, por lo que con estas credenciales accedí al panel de sesión del wordpress.

El usuario jerry contiene una "flag" indicando que si no se puede realizar una revershell a través del wordpress intente de otra manera.

Por ese motivo realice otra enumeración de puertos pasándole el siguiente comando.

nmap -p- --open -sS --min-rate 2000 -vvv -n -Pn 192.168.163.179

Este escaneo encontró un puerto que anteriormente el otro escaneo no encontró > 7744/tcp. Al pasar el -sCV para ver el servicio y su versión, nmap me devuelve que es un servidor SSH.

Con el usuario tom logre acceder a la maquina victima. Al ejecutar el comando whoami me devuelve que el comando no funciona, esto de se debe a que se esta ejecutando una -rbash en ves de un bash o sh.

Para escapar de la -rbash utilice el siguiente contenido > https://exploit- notes.hdks.org/exploit/network/protocol/restricted-shell-bypass/

Probé que comando se pueden ejecutar topándome que el comando "vi" me abre una pestaña. La web anteriormente me indica que si se ejecuta el comando vi o vim se puede escapar de la -rbash.

Si podemos usar vi o vim comando, se puede actualizar la variable SHELL en el editor vi/vim.

:set shell=/bin/bash

:shell

Luego ejecute el comando whoami y la -rbash no esta, ahora mi indica que es bash. El siguiente paso fue exportar la /bin/bash al path.

export SHELL=/bin/bash export

PATH=/usr/local/sbin:/usr/sbin:/sbin:/u r/local/bin:/usr/bin:/bin

Ya con estos pasos logre escapar de la -rbash y de la bash pudiendo ejecutar los comandos básicos.

Dentro de la directorio tom hay una flag que indica que el viejo tom siempre corre a jerry

En el directorio jerry hay una archivo que comenta que a partir de acá estamos solos.

Con el usuario tom realice una búsqueda de binarios para poder escalar privilegios. Encontre 2 binarios exim4 y procmail, pero estos no se pueden utilizar para privesc.

Al tener las credenciales de jerry con el comando "su" logre acceder como este usuario.

Utilice el comando sudo -l y me devolvió que puedo utilizar git como root sin requerir contraseña, por lo que en gtfobins encontré la manera de abusar de ese binario para escalar privilegios.