1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})
      • MAQUINA PYSCHO (Fuzzing Parametros VULN WEB LFI con FUZZ Pivoting User PrivEsc {python3 paw.py})
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
      • MAQUINA FRUITS (FUZZING de parámetros LFI BRUTEFORCE password PRIVESC binario FIND)
Powered by GitBook
On this page
  1. THEHACKLABS
  2. Writeups

MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)

PreviousWriteupsNextMAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)

Last updated 2 months ago

MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN

PLUGINS 'WP DIRECTORY FREE 1.7.9

LocalFileInclusion'; PRIVESC bpftrace)

Use netdiscover para encontrar la ip a la cual auditar.

netdiscover -i eth0 -r 192.168.0.0/24

La IP es la siguiente: 192.168.0.119

Use NMAP para encontrar los puertos abiertos, sus servicios y las versiones de tales servicios.

nmap -A --open -p- -T5 192.168.0.119

La maquina tiene 3 puertos abiertos: el 22 ssh, el 80 http y el mysql 3306.

Ingrese al servidor web para hacer un reconocimiento y posterior buscar información sensible o alguna vulnerabilidad.

Antes de ingresar use whatweb para verificar que tipo de tecnologías corre en la web.

Al revisar la web note que hay un dominio llamado torrijas.thl, dicho dominio lo agregue al

/etc/host.

Continúe buscando directorios ocultos con la herramienta FFUF.

ffuf -u http://torrijas.thl/FUZZ -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory/list/2.3-medium.txt -e php,html,txt

FFUF encontró rutas interesantes, una de ellas es el directorios /wordpress. Ingrese al directorio donde hay un blog indicando que estoy ante un WORDPRESS.

Wappalyzer me identifico ante que versión de wordpress estoy (wordpress 6.7.2.)

Wordpress contiene una ruta donde se aloja un panel de sesión. Probé manualmente dando con el panel de sesión.

Las credenciales por defecto no funcionaron. Decidí ver mas la web y encontre un usuario llamado 'administrador'.

Coloque el nombre administrador como usuario en el panel de sesión y como error me indico que la contraseña es incorrecta.

Otra forma de enumerar usuarios es con WPSCAN.

wpscan --url http://torrijas.thl/wordpress --enumerate u

Luego de intentar por un tiempo encontrar la contraseña del usuario administrator decidí volver a enumerar.

Use FEROXBUSTER para buscar directorios y encontré que en la carpeta /wordpress hay otra subcarpeta llamada /wp-content la cual también tiene otra subcarpeta llamada /plugins.

Vi el código fuente de las webs y no encontré que plugins se esta implementado.

En este caso use WPSCAN indicándole a través de unas opciones que me realice una búsqueda agresiva de los plugins.

wpscan --url http://torrijas.thl/wordpress --plugins-detecion mixed --enumerate ap --force -t 50

Porque use esto? porque WPSCAN al ejecutar la enumeración de plugins básica solamente va realizar una búsqueda muy safe.

Terminado el escaneo note que se están usando 2 plugins: 'akimet y wp-directory-free 1.7.9'

Este plugin contiene como vulnerabilidad un LFI\

**CVE-2024-3673** describe una vulnerabilidad crítica en el plugin Web Directory Fre

.. dejo el siguiente repositorio para el exploit.

Con tal exploit guiándome por el PoC creado, ejecute el script leyendo el /etc/passwd y encontré 2 usuarios.

Usuario 1: primo. Usuario 2: premo. Se observo un hash pero no logre crackearlo.

Con estos usuarios al pertenecer a la maquina y poseer el puerto 22 ssh abierto, lo que hice fue hacer una búsqueda de la contraseña de estos usuarios mediante fuerza bruta.

ncrack -user premo -P /usr/share/wordlists/rockyou.txt 192.168.0.119:22 -T5 -v

NCRACK encontró la contraseña de 'premo:cassandra', con tales credenciales las utilice para ingresar mediante SSH.

Dentro de la maquina, liste su contenido mediante un "ls -la" encontrando un archivo llamado

.mysql_history. Tal archivo indica pasos que se han usando anteriormente y se puede ver que esta el usuario 'PRIMO'.

Tiene sentido ya haya una base de datos ya que el puerto 3306 MYSQL esta open.

Realice un reconocimiento por si encontraba cosas interesante como alguna contraseña o algo mas.

En /var/www/html/wordpress en el wp-config.php hay un usuario y una contraseña la base de datos.

Ingrese y solamente encontré el hash del usuario administrator, pero no es la que necesite.

En vez de usar el usuario admin para ingresar al mysql, manualmente coloque credenciales por defecto pero como root.

Y logre acceder.

Ya con esto use lo que estaba guardado en el archivo .mysql_history y di con la contraseña de primo.

Ahora logre el acceso a la maquina siendo el usuario primo.

Busque la forma de escalar privilegios, en este caso use le comando 'sudo -l' y puedo ejecutar como root sin el requerimiento de la contraseña, el binario /usr/bin/bpftrace.

En GTFOBINS encontré la forma de aprovechar dicho binario.

Logre acceder como root.

Para mas información:

🖥️
https://hacktricks.boitatech.com.br/pentesting/pentesting-
web/wordpress
https://github.com/Nxploited/CVE-2024-3673