1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA PYSCHO (Fuzzing Parametros VULN WEB LFI con FUZZ Pivoting User PrivEsc {python3 paw.py})
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
      • MAQUINA FRUITS (FUZZING de parámetros LFI BRUTEFORCE password PRIVESC binario FIND)
Powered by GitBook
On this page
  1. THEHACKLABS
  2. Writeups

MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)

PreviousMAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)NextMAQUINA FRUITS (FUZZING de parámetros LFI BRUTEFORCE password PRIVESC binario FIND)

Last updated 2 months ago

MAQUINA FACULTAD

Con la netdiscover identifique la ip de la maquina victima.

netdiscover -i eth0 -r 192.168.0.0/24

Hago un escaneo de puertos, servicios y sus versiones con nmap.

nmap -A -p- --open -T5 192.168.0.197 -oN fullService.txt

En el puerto 80 corre un servidor apache versión 2.4.64. Use whatweb para identificar las tecnologías que están corriendo en la aplicación web.

En la pagina inicial de la web no encontré nada interesante, por lo que pase a buscar directorios ocultos con FUFF.

ffuf -u http://192.168.0.197/FUZZ -w /usr/share/wordlists/seclists/Discovery/Web-Con

En el directorio /education se aloja un CMS Wordpress versión 6.7.1 , la web se ve desprolija así que agrego a mi /etc/host el dominio que encontré "facultad.thl".

Como estoy ante un wordpress busque el directorio wp-admin, wp-login, etc.

ffuf -u http://facultad.thl/education/FUZZ -w /usr/share/wordlists/seclists/Discover

Dentro de directorio /wp-admin esta en panel de sesión, como no encontré credenciales por defecto use la herramienta WPSCAN para realizar una enumeraron de plugin vulnerables, usuarios y mas.

wpscan --url http://facultad.thl/education --enumerate u,vp

WPSCAN me identifico un usuario llamado 'facultad', con la misma herramienta realice fuerza bruta para encontrar la contraseña del usuario.

wpscan --url http://facultad.thl/education --username facultad --password /usr/share

Al cabo de un tiempo encontró la contraseña siendo: asdfghjkl.

Me dirijo al panel de sesión, coloco las credenciales e ingreso con éxito al panel de wordpress.

Luego de hacer un reconocimiento del worpress observe que hay una carpeta con nombre WP-FILE-MANAGER que no me reconocí la cual me llamo la atención.

En searchsploit encontré algunas vulnerabilidades para aprovechar o para poder usar, pero como observe que la carpeta contiene archivos del mismo wordpress.

Lo interesante es que puedo subir archivos php, lo que me resulto extraño ya que puedo crear un revershell y obtener una conexión con mi maquina.

Paso a realizar lo dicho anteriormente, creo una revershell en php y la subo a la maquina.

Luego en otra terminal me pongo a la escucha en el puerto donde cree la revershell y ejecuto la revershell.

Dentro de la maquina estoy como usuario www-data por lo que realizo otro reconocimiento, donde encontré 2 usuarios Gabri y Vivian.

Al ejecutar sudo -l vi que 'Gabri' puede ejecutar /usr/bin/php sin contraseñas.

Busque contenidos que se asocien a Gabri con el comando find, donde me mostro cosas en las siguientes rutas.

find / -user gabri 2>/dev/null

Leí el contenido del archivo de texto donde se aloja una cadena de texto codificada en BRAINFUCK la cual decodifique con la siguiente herramienta.

https://md5decrypt.net/en/Brainfuck-translator/

Esta contraseña pertenece a Vivian, así que usando el ssh me logueo a este usuario.

Al ejecutar un sudo -l me muestra que esta ejecutando un script en /var/mail, cuando lo leo al script me muestra un #!/bin/bash y blablabla..

Modifique este script colocándole una shell reversa a mi maquina. Como lo puedo ejecutar usando sudo me va a devolver la revershell como root.

Me pongo a la escucha con netcat en el puerto 4444, le doy permiso de ejecución al script y lo ejecuto como sudo.

🖥️