# MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
Ejecuto un ping para ver la conectividad hacia la maquina victima. Con el ttl puedo determinar que estoy ante una maquina LINUX.
Realizo un escaneo de puertos para ver los que están abiertos mas un escaneo de reconocimientos básicos para saber que servicios están corriendo, seguido de un escaneo versiones de esos servicios y por ultimo ejecuto un escaneo de vulnerabilidades.
"ESCANEO DE RECONOCIMIENTO"
"ESCANEO DE VULNERABILIDADES"
  
Ya terminado todo el escaneo observo que tengo el puerto 22 ssh disponible, el 80 http, el 3306 mysql y el puerto 5000 otro servidor http.
El escaneo de vuln como el escaneo de reconocimientos me encontró mucha info, en la web esta corriendo un wordpress de versión 5.5.1 y en el ssh versión 8.3.
También el escaneo de vuln me encontró algunas rutas posibles para luego dentro de la web chusmearlas, también realizo una sqli mostrándome un PoC y por ultimo realizo fuerza bruta con una lista propios de nmap encontrándome un usuarios "admin"
Con whatweb -v listo todas las tecnologías que están corriendo en el sitio web. El parámetro - v me muestra con detalles que es cada tecnologías.
 
Ahora ingreso a la web para realizar un reconocimiento de la misma.
Ya dentro con wappalyzer también observo que tipo de tecnología están corriendo por la web.
A simple vista veo que tengo el usuario admin realizando un comentario.
Me encuentro con un panel de login en el cual pruebo algunas credenciales por defecto con resultado negativo.
 
Como tengo la versión del wordpress con searchsploit voy a buscar si existe alguna vulnerabilidad para esa versión.
La herramienta me encontró algunos , pero al verificar que mi web no contiene esos plugins no me van a servir.
Ahora leyendo el codigo fuente busque que plugins estan corriendo en el sitio web. Al parecer tengo 2 plugins interesantes: el simple-file-list y el tutor.
Esta búsqueda tambien lo voy a realizar con wpscan pasandole los siguiente comandos.
```
wpscan --url http://192.168.199.105 --enumerate ap
```
Una vez terminado el escaneo con la tool esta me identifica los plugins dando con exactitud los que encontré manualmente, lo bueno es que ahora poseo las versiones de estos plugins para buscar si son vulnerables.
El centro de atención va a ser en el plugin simple file list el cual la versión es vulnerable a un RCE como también una subida de archivo.
El exploit lo que haces lo siguiente:
## Vulnerabilidad
`El plugin "Simple File List" permite a usuarios no autenticados subir archivos al servidor.`
`Los archivos subidos no son validados adecuadamente, lo que permite subir scripts maliciosos (en este caso, PHP).`
`Posteriormente, el script malicioso puede ser renombrado y ejecutado, otorgando control sobre el servidor.`
## Pre-requisitos:
`El plugin debe estar instalado en el servidor objetivo. La versión del plugin debe ser vulnerable (<= 4.2.2).`
`La URL del sitio web objetivo debe estar disponible.`
Ahora como se como funciona el exploit realice un modificación en el payload.
```
payload = '";system($_GET["cmd"]);echo "";}else{echo "Usage: ?cmd=your_command";}?>'
```
Ejecuto el exploit con éxito.
Ahora ingreso al 2do link donde esta alojado el archivo malicioso y ejecuto con cmd=ls para ver si me lista el contenido el cual lo realizo con éxito.
Como puedo realizar ejecución de comandos, lo que voy a hacer una revershell para que se conecte a mi maquina atacante, para ellos elegí el siguiente comando.
Luego me pongo en escucha con netcat y lanzo la revershell dándome conexión con la maquina.
Ya dentro de la maquina realizo un reconocimiento de la maquina para luego buscar la forma de escalar privilegios para ser usuario root.
Dentro de la maquina tengo un usuario llamado "commander", luego al saber que estoy ante un wordpress esto contiene datos interesante en un archivo llamado config.php
Una vez que encontrado el archivo lo leo y puedo observar unas credenciales de la base de datos.
Pruebo logearme con estas credenciales con éxito.
El pivote al usuario commander lo que realizo es una búsqueda permisos SUID.
Acá encontré algo interesante que es el binario dosbox.
\-->
Verifico los permisos de este binario y veo que si es SUID.
Con el parámetro "--versión" listo la versión actual.
Al listar los puertos internos con el comando: netstat -tulnp, puedo ver que s esta ejecutando un puerto diferente que no aparecía en el escaneo con nmap (5901)
`El puerto 5901 es un puerto de visualización (display) utilizado por el servidor de pantalla remota VNC (Virtual Network Computing). Cuando se configura VNC por primera vez, se abre una instancia predeterminada del servidor en el puerto 5901, también conocido como “:1”.`
Como dosbox es un programa virtualizado que se puedo ejecutar de forma remota lo que supuse es que al traerme ese puerto a mi maquina realizando ssh fordwarding voy a poder ingresar a través del dosbox con remmina.
Primero realizo un portforwardin SSH.
```
ssh -L 5901:localhost:5901 commander@192.168.199.105
```
Luego con remmina me conecto a través del localhost al puerto indicado anteriormente.
Este nos pide una contraseña la cual es la encontrada anteriormente, le damos click y ya estamos dentro.
Lo primero que hago acá es lo siguiente.
`. Listo con el comando que comandos puedo utilizar con el comando "help"`
`. Luego con el comando MOUNT voy a montar un particion llamada "k" en la raiz.`
`. Con el comando type voy leer el contenido de l archivo /etc/passwd`
`. Pruebo ver si me lista el contenido del /etc/shadow y veo que me lista el mismo`
Ya al ver que me lista el contenido del /etc/shadow me dio sospecha de que este usuario tiene permisos de root.
Por lo que ahora voy a agregar al usuario "commander" todos los permisos para que pueda ejecutar comandos.
\*\*Agregar la línea\*\*: Una vez dentro del editor, agrega la línea siguiente al final
`` commander ALL=(ALL) NOPASSWD:ALL` ``
Esto otorgará al usuario \`commander\` la capacidad de ejecutar cualquier comando con
Vuelvo a la maquina y con el comando su commander + las password ya me logueo como root.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://1gnotus.gitbook.io/ignotus_pwn/proving-ground-practice-and-play/writeup/maquina-nukem-wordpress-5.5.1-abused-plugins-simple-list-4.4.2-pivoting-user-mysql-passoword-pivotin.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.