1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA PYSCHO (Fuzzing Parametros VULN WEB LFI con FUZZ Pivoting User PrivEsc {python3 paw.py})
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
      • MAQUINA FRUITS (FUZZING de parámetros LFI BRUTEFORCE password PRIVESC binario FIND)
Powered by GitBook
On this page
  1. Proving Ground Practice and Play
  2. Writeup

MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)

PreviousMAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)NextMAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)

MAQUINA FUNBOXEASY

Enumere los puertos de la maquina con lo siguientes comandos:

A este comando lo use para ver los puertos de la maquina, solo los que se encuentran abiertos.

Los siguientes comandos son para ver los servicios y versiones que corren es los puertos encontrados.

Como metodología, al tener 2 puertos abiertos, el 22 ssh y el 80 http, comence realizando una reconocimiento de tecnologías de la web ya que no poseo credenciales para acceder al ssh.

Whatweb se usar para las tecnologías que están corriendo en la web.

Al ingresar a la web me tope con la pagina de default de apache, por lo que sin pensarlo ejecute dirsearch para encontrar directorios ocultos en la web.

El directorio interesante es el phpmyadmin (no hace falta ser científico para darse cuenta xD). En dicho directorio tengo un panel de sesion.. use credenciales por defecto como admin:admin toor:root root:toor etc, pero nada de ello me funciono, hasta trate de bypasearlo pero nada.

En el icono de pregunta (?) pude ver la version del phpmyadmin.. que luego pase a buscar alguna vuln pero nada tampoco..

Como la pagina esta corriendo en PHP volvi a enumerar pero esta vez con la herramienta FUFF agregando la extensión ".php".

Luego de un tiempo, encontre otro directorio llamado "MINI", cuando ingrese al directorio me encontre con software llamado "ZIRION MINI SHELL"

Me puse revisar un poco la aplicación y note que puedo modificar los archivos, darle permisos (LADO DERECHO), también subir archivos (interesante)..

Al tener esto se me vino automáticamente subir una reverhsell en php, en mi caso use el de ivan sicek.

Listo ahora me encuentro dentro de la maquina como usuario www-data..

Luego de una búsqueda, encontré unos usuarios en el directorio /home, estos no poseían nada interesante dentro de sus carpetas.

Me acorde que tenia un phpmyadmin por lo que busque con el parámetro "locate" busque todos los archivos de php.

Leí los mas interesantes, hasta que encontré un config-db.php, este archivo contiene unas credenciales interesante.

Las credenciales encontradas son validas para el panel de phpmyadmin pero al revisar las columnas me ejecutaba un error por ende pensé que la password podría ser de alguno de los usuarios encontrados .. ¿si no para que están?.

Guarde los nombres de los usuarios en un archivo y luego realice fuerza bruta con hydra.

Bien hasta aca todo bien.. una vez que ingrese como usuario karla me puse en campaña de encontrar la forma de escalar privilegios.. para mi suerte con el comando sudo -l me mostro las puertas al cielo ya que tengo todos los privilegios con esta cuenta.

ROOT.

Al tener subida la revershell me dirigí al siguiente apartado: (Hay que ir directamente a la revershell). Pero antes me puse en escucha con netcat.

💻
http://192.168.106.132/e.php