Last updated
Envié un ping a la ip victima para verificar la conexión con ella.
Luego a través de nmap ejecute unos scripts básicos de reconocimientos para ver los puertos abiertos, los servicios y las versiones que corren en la maquina.
Una vez terminado el escaneo observo que tengo el puerto 22 y el 80 disponible, como no tengo credenciales y no puedo ingresar al ssh me adentro al servicio web.
Cuando ejecute un whatweb me salto un error indicándome que la url no existe y que esta redireccionándola a la URL seleccionada.
Para arreglar esto debo colocar la url al /etc/host.
Luego de hacer eso, realizo otro whatweb y ahora me muestra con detalles lo que esta corriendo en el servicio web.
Whatweb me muestra que esta corriendo un CMS llamado subrion de versión 4.2 desde ya esto es interesante porque tengo la versión del CMS.
Ingreso al sitio web y con wappalyzer veo las tecnologías que están corriendo en la web.
Ahora paso a realizar un reconocimiento de la web ingresando a cada apartado, lo mas interesante me encontré con un panel de inicio de sesión.
Luego de una larga búsqueda utilice credenciales por defecto el cuales funcionaron: admin admin.
Ya dentro del panel volví a realizar otro reconocimiento y me tope con 2 apartados en el cuales puedo subir archivos.
Hasta acá bien, al tener la versión del CMS paso a buscar con searchsploit si esto posee alguna vulnerabilidad encontrándome con un carga de archivo RCE.
Me descargo el archivo y al leerlo solamente me indica que debo pasarle la URL + las credenciales.
Una vez hecho eso, lo ejecuto y me devuelve una shell, esto lo que hizo fue cargar un archivo malicioso en extension .phar que contiene un revershell.
Ya dentro de la maquina como usuario www-data realizo un reconocimiento de la misma.
Dentro de la maquina me tope con 1 usuario llamado coaran.
Como la shell que me ejecuto el script no es muy interactiva, me conecte lanzando una reveshell en perl hacia mi maquina atacante para tener una shell mas cómoda.
Ahora busco permisos suid dentro del maquina y no me encontré con nada interesante.
Luego de no encontrar nada, descargo linpeas en la maquina victima ejecuto el script.
Ya terminado el escaneo de linpeas, veo que se esta ejecutado una tarea cron como root llamada image-exift en la maquina.
Al parecer esta leyendo los metadatos de las imágenes que se cargan en el directorio uploads, veo que la versión de exiftool es 11.88 por ende voy a verificar si hay alguna vulnerabilidad.
Luego de buscar en google, encontré este cve que me permite a través de una imagen realizar ejecución de comandos, y la versión que tengo en la maquina victima es vulnerable a este cve ya que se puede ejecutar a partir de 7.44 en adelante.
Después de leer el poc, ejecuto el script siguiendo los pasos y esto lo que haces es cargarme una revershell en la imagen (PAYLOAD), esta imagen es un archivo DjVu.
El formato de fichero DJVU **es un tipo de ficheros para guardar imágenes escaneada
A la imagen maliciosa la subo a través del apartado upload del CMS ya que la tarea cron lee las imagenes de la ruta uploads.
Una vez subido el archivo, ponerme en escucha con nc y esperar un poco hasta que se ejecute la tarea, obtengo la revershell y soy usuario root.
La otra forma para acceder al sistema es subiendo un archivo .phar al apartado upload.
En get info me indica el link donde esta mi archivo subido, por ende le doy click y me envía al archivo.
Ejecuto el comando whoami para ver que usuario esta ejecutado el sitio y observo que soy el usuario www-data. Ahora que puedo ejecutar comandos me voy a enviar una RVSHELL hacia mi maquina atacante.
Listo estoy dentro de la maquina victima, ahora como se que tengo la tarea cron disponible encontré otra forma de acceder al usuario root.
Utilize la siguiente guía:
Una vez descargada la herramienta ejecuto lo siguiente proporcionándole una revershell, cabe destacar que similar al primer script.
Subo la imagen malicioso al cms para que la tarea cron lo ejecute, mientras tanto me pongo en escucha con netcat.
Listo ya soy root.
