1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA PYSCHO (Fuzzing Parametros VULN WEB LFI con FUZZ Pivoting User PrivEsc {python3 paw.py})
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
      • MAQUINA FRUITS (FUZZING de parámetros LFI BRUTEFORCE password PRIVESC binario FIND)
Powered by GitBook
On this page
  1. Proving Ground Practice and Play
  2. Writeup

MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)

PreviousMAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)NextMAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)

Last updated 2 months ago

Enumere los puertos abiertos de la maquina empleando lo siguientes comandos.

nmap -p- --open -sS --min-rate 3000 -vvv -n -Pn passport -oG Basicscan.txt # passport es la ip.

Luego a los puertos encontrados con los parámetros -sCV identifique los servicios y las versiones de cada uno.

nmap -p21,22,80 -sCV passport -oN serviceScan.txt

El puerto FTP al no tener acceso como anonymous lo dejo para después, luego el servicio SSH al no tener credenciales lo dejo de lado, por ende comencé a realizar un reconocimiento del servidor web.

En primer paso use whatweb para identificar las tecnologías que usa la web.

Seguidamente ingrese al sitio web.

Aquí encontré 2 posibles usuario: LUIGI y DIEGO, también encontré un panel de login en la sección "Reserverd Area"

En el panel de login intente bypasearlo pero no resulto exitoso.

Probé si los usuarios encontrados son accesibles al ftp y note algo raro, al utilizar el usuario a LUIGI me dio un error y al utilizar a DIEGO me dio otro error.

Desde ya saque conclusión de que LUIGI tendría acceso al ftp, cabe recalcar que realice fuerza bruta pero no resulto.

Realice una busqueda de directorios ocultos con feroxbuster, que luego de un tiempo encontre una ruta bastante interesante.

El directorio /acct_login/trace contiene algunos subdirectorios con números, al ingresar a cada uno observe que son conversaciones vía email de varios usuarios, el cual fui guardando nombre por nombre.

Uno de estos directorios comparte una password en texto plano.

Recopile varios usuarios por lo que pase a realizar fuerza bruta al FTP empleando la herramienta hydra.

hydra -L users.txt -p Serendipity1903@ -w /usr/share/wordlist/rockyou.txt ftp://pass

Al encontrar dicha contraseña ingrese al FTP y encontré con 2 archivos un ssh.bak y una carpeta uploads. Me descargue el ssh.bak el cual posee una clave id_rsa.

Con la herramienta ssh2john cree un hash del archivo ssh.bak que luego usando john y el diccionario rockyou logre identificar la password.

Ahora le di permisos 600 al archivo ssh.bak y con el siguiente comando, utilizando la password logre acceder como LUIGI.

ssh -i ssh.bak luigi@passport
password=flowerpower

Ya dentro de la maquina, luego de realizar un reconocimiento de la web, busque también la forma de escalar privilegios. En este caso use el comando sudo -l y me mostro que el archivo

/tmp/base64 /home/* puede ser ejecutado como root sin password.

Cuando revise la carpeta /tmp note no que existe el archivo base64, por lo que cree un archivo llamado como tal 'base64' y dentro de el coloque el comando: "chmod u+s /bin/bash".

echo '#!/bin/bash' > /tmp/base64 
echo '/bin/bash' >> /tmp/base64 chmod +x /tmp/base64
sudo /tmp/base64 /home/*

Terminado de crear el archivo base64 liste la /bin/bash y observe que cambio a SUID por lo que ejecute un /bin/bash -p y obtuve acceso como root.

💻