MAQUINA GOLD-EYES ( BRUTE FORCE pop3 - smtp mail - CMS MOODLE 2.2.3 ERROR ORTOGRAFICO - PRIVESC KERN

Reconocimiento de puertos y servicios con nmap

nmap -p- --open --min-rate 2000 -n -Pn -sSCV -oN fullscan.txt 10.10.122.10

Puerto 25 > smtp postfix > SMTP (Simple Mail Transfer Protocol) es el protocolo que se utiliza para enviar correos electrónicos desde un cliente a un servidor o entre servidores.

Puerto 80 > apache 2.4.7 > web

Puerto 55006 > ssl/pop3 > POP3 (Post Office Protocol versión 3) es un protocolo de correo electrónico que permite a un cliente (como Thunderbird, Outlook o una herramienta de pentesting) recuperar correos electrónicos desde un servidor remoto.

Puerto 55007 > pop3

Con scripts de nmap hice un reconocimiento del servicio SMTP

Luego me identifique las tecnologías de la web.

Dentro de la web me encontró con un apartado donde me indica una ruta llamada /sev-home/.

Seguidamente realice una búsqueda de directorios ocultos usando feroxbuster

Dentro de /sev-home/ me aparece un panel de sesión donde intente colocar credenciales por defecto pero no logre dar con ninguna.

En la ruta /terminal.js hay un comentario donde me indica que la contraseña posiblemente del usuario BORIS se encuentra encodeada en HTML, tambien hay otro usuario llamado Natalya.

Descifre la contraseña y esta misma la probé en el panel de sesión que aparece en la ruta /sev-home/ tanto con los usuarios boris y natalya siendo boris el usuario correcto.

Leí el código fuente de al nueva pagina y vi que tanto boris y natalya son supervisores despues de esto no hay mas nada que revisar de la web.

Ingrese al servicio pop3 pero me centro en el puerto 55007 ya que el 55006 es "segura" con estos usuarios y la contraseña pero no funcionaron.

Con hydra realice fuerza bruta a la contraseña de los 2 usuarios donde di con éxito con las 2 contraseñas.

hydra -l boris -P /usr/share/wordlists/fasttrack.txt pop3://10.10.122.10 -s 55007

hydra -l natalya -P /usr/share/wordlists/fasttrack.txt pop3://10.10.122.10 -s 55007

Use esta web para averiguar si dentro de los email hay algo interesante en las 2 sesiones donde encontré en la sesión de natalya unas credenciales y un dominio

How to Utilize POP3 Protocol to Access DataMotion and Direct Accounts – DataMotion Knowledge Base

Agregue este dominio al host para luego ingresar a la ruta apuntada

Use la credencial de xenia y logre acceder a un CMS llamado MODDLE

Después de realizar una inspección en búsqueda de cosas interesantes encontré en los mensajes una conversación con un usuario llamado DR DOAK.

En el mensaje indica que el su usuario en el email es doak, gracias a esto volvía usar hydra para buscar su credencial, dando con éxito dicha contraseña.

Luego de leer los email encontré las credenciales del DR_DOAK, a estas credenciales las use para entrar al panel de sesión del CMS MODDLE\

Allí vi que DOAK tiene como contacto al usuario ADMIN (a tener en cuenta)

Revise cada panel y encontré una carpeta con un archivo llamado s3cret.txt, dentro de ese archivo hay una ruta donde al dirigirme me apareció una imagen.

```
007,

I was able to capture this apps adm1n cr3ds through clear txt. 

Text throughout most web apps within the GoldenEye servers are scanned, so I cannot add the cr3dentials here. 

Something juicy is located here: /dir007key/for-007.jpg

Also as you may know, the RCP-90 is vastly superior to any other weapon and License to Kill is the only way to play.

Descargue esta imagen y con exiftool vi algo interesante en la descripción esta encuentra encodeada en base64.

Descifrada me apareció una posible contraseña, a dicha password la probé con varios usuario encontrados a lo largo del camino.. dicha contraseña es valida para el usuario admin.

Ya dentro del CMS con todos los privilegios empecé a buscar la forma de acceder remotamente dentro de la maquina.

Busque información sobre exploit para la versión pero no di con ninguna, luego de leer mucho información encontré la forma de aprovechar un error del software que al usar el corrector ortográfico de TINYMCE se puede acceder remotamente.

Para lograr este acceso realice los siguiente pasos.

Me dirigí a la ruta de sistemas y cambie el contenido de "path to aspell" por una rever Shell en Python, luego lo guarde

Fui a plugins > TinyMCE HTML editor y modifique el "spell engine" a "PSellShell"

Acá viene el acceso remoto, luego de hacer lo anterior me traslade a "Blog" y agregue una nueva entrada, allí coloque cualquier nombre como de titulo como en el body.

En otra terminal me puse en escucha con netcat

Una vez terminado esto corregí el error ortográfico y la pantalla se congelo y en el netcat vi que la conexión fue exitosa.

Ahora con el acceso remoto listo realice una inspección manual rápidamente y luego ejecute linpeas.

Desde ya vi que hay otros usuario y no encontré ninguna tipo de forma de pivotear a tales usuarios, pero enumere le kernel de linux y vi que esta muy desactualizado.

Para una mejor búsqueda use linpeas y vi que es vulnerable a overlayfs

Para explotar esto descargue un exploit de searchsploit o de la URL indicada allí.

Verifique que gcc este instalado en la maquina pero este no fue el caso, busque otra variante y vi que cc también se puede utilizar así que revise y se encuentra instalado.

Antes de subir el exploit lo modifique para que sea compilable con cc.

Subí el exploit modificado y realice el compilado correspondiente para ejecutar el exploit.

www-data@ubuntu:/tmp$ cc 37292.c -o exploit
www-data@ubuntu:/tmp$ chmod +x exploit 
www-data@ubuntu:/tmp$ ./exploit 

Con esto logre el acceso a root.