# MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)

MAQUINA FACULTAD

Con la netdiscover identifique la ip de la maquina victima.

```
netdiscover -i eth0 -r 192.168.0.0/24
```

![](/files/u8BRDIG6j6EZihxAAzuj)

Hago un escaneo de puertos, servicios y sus versiones con nmap.

```
nmap -A -p- --open -T5 192.168.0.197 -oN fullService.txt
```

![](/files/NDbFK8Ga8C4KUzS2YbA4)

En el puerto 80 corre un servidor apache versión 2.4.64. Use whatweb para identificar las tecnologías que están corriendo en la aplicación web.

![](/files/E0NnFTnaAIby70PHOXmL)

En la pagina inicial de la web no encontré nada interesante, por lo que pase a buscar directorios ocultos con FUFF.

![](/files/vCuEePt1MTCcw8NHRzLQ)

```
ffuf -u http://192.168.0.197/FUZZ -w /usr/share/wordlists/seclists/Discovery/Web-Con
```

![](/files/3e1GFI4D1S3j5LWuGtvt)

En el directorio /education se aloja un CMS Wordpress versión 6.7.1 , la web se ve desprolija así que agrego a mi /etc/host el dominio que encontré "facultad.thl".

![](/files/zdYtlMAihF0R5NmR8woL)

![](/files/WY1Qjj8JABAa3PEmlTYv)

Como estoy ante un wordpress busque el directorio wp-admin, wp-login, etc.

```
ffuf -u http://facultad.thl/education/FUZZ -w /usr/share/wordlists/seclists/Discover
```

![](/files/q3qANEM9Aqs2CNKHed5d)

Dentro de directorio /wp-admin esta en panel de sesión, como no encontré credenciales por defecto use la herramienta WPSCAN para realizar una enumeraron de plugin vulnerables, usuarios y mas.

```
wpscan --url http://facultad.thl/education --enumerate u,vp
```

![](/files/NDVMgA64nSLI72mXTHhw)

![](/files/P6PXcsfuQrX2G0PdBOFA)

WPSCAN me identifico un usuario llamado 'facultad', con la misma herramienta realice fuerza bruta para encontrar la contraseña del usuario.

```
wpscan --url http://facultad.thl/education --username facultad --password /usr/share
```

![](/files/juiDEopEbaENLoYkKWTy)

![](/files/ixL1rEWep8JfheF53DlY)

Al cabo de un tiempo encontró la contraseña siendo: asdfghjkl.

Me dirijo al panel de sesión, coloco las credenciales e ingreso con éxito al panel de wordpress.

![](/files/q9JUk620vREuGnGOIvCp)

Luego de hacer un reconocimiento del worpress observe que hay una carpeta con nombre WP-FILE-MANAGER que no me reconocí la cual me llamo la atención.

En searchsploit encontré algunas vulnerabilidades para aprovechar o para poder usar, pero como observe que la carpeta contiene archivos del mismo wordpress.

![](/files/Z3ffBkWKEhUdJw7xigpU)

Lo interesante es que puedo subir archivos php, lo que me resulto extraño ya que puedo crear un revershell y obtener una conexión con mi maquina.

![](/files/o1GlFvAKGP1IhPucNp5U)

Paso a realizar lo dicho anteriormente, creo una revershell en php y la subo a la maquina.

![](/files/i16RdCr9nYgY9vXyTA3N)

Luego en otra terminal me pongo a la escucha en el puerto donde cree la revershell y ejecuto la revershell.

![](/files/B2ghBxpH1UDleV4HNxw3)

![](/files/bJhCgZ8t4UW5u5rTkdL6)

Dentro de la maquina estoy como usuario www-data por lo que realizo otro reconocimiento, donde encontré 2 usuarios Gabri y Vivian.

Al ejecutar sudo -l vi que 'Gabri' puede ejecutar /usr/bin/php sin contraseñas.

![](/files/vlR553pmuErbpPdAPCIr)

Busque contenidos que se asocien a Gabri con el comando find, donde me mostro cosas en las siguientes rutas.

```
find / -user gabri 2>/dev/null
```

![](/files/OmLQqfiFQrsTRu63vQjL)

Leí el contenido del archivo de texto donde se aloja una cadena de texto codificada en BRAINFUCK la cual decodifique con la siguiente herramienta.

![](/files/wTLNFgrhLxWGZnS3DmYD)

```
https://md5decrypt.net/en/Brainfuck-translator/
```

<figure><img src="/files/DsiaE9xKFfM1U4ykyegw" alt=""><figcaption></figcaption></figure>

Esta contraseña pertenece a Vivian, así que usando el ssh me logueo a este usuario.

<figure><img src="/files/ecDyN5yyKSH8LjbA9YFN" alt=""><figcaption></figcaption></figure>

Al ejecutar un sudo -l me muestra que esta ejecutando un script en /var/mail, cuando lo leo al script me muestra un #!/bin/bash y blablabla..

Modifique este script colocándole una shell reversa a mi maquina. Como lo puedo ejecutar usando sudo me va a devolver la revershell como root.

<figure><img src="/files/o8X0rvpJhP2xp6U09yXb" alt=""><figcaption></figcaption></figure>

Me pongo a la escucha con netcat en el puerto 4444, le doy permiso de ejecución al script y lo ejecuto como sudo.

<figure><img src="/files/BUYQx6Wb6oiqxWjz3Wpu" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://1gnotus.gitbook.io/ignotus_pwn/thehacklabs/writeups/maquina-facultad-enum-wpscan-wordpress-upload-rce-wp-file-manager-privesc-sudo-l-rce.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.