# MAQUINA GOLD-EYES ( BRUTE FORCE pop3 - smtp mail - CMS MOODLE 2.2.3 ERROR ORTOGRAFICO - PRIVESC KERN

Reconocimiento de puertos y servicios con nmap

```
nmap -p- --open --min-rate 2000 -n -Pn -sSCV -oN fullscan.txt 10.10.122.10
```

<figure><img src="/files/PkTpFl7TR1YdVtlQgSmg" alt=""><figcaption></figcaption></figure>

Puerto 25 > smtp postfix > SMTP (Simple Mail Transfer Protocol) es el protocolo que se utiliza para **enviar correos electrónicos** desde un cliente a un servidor o entre servidores.

Puerto 80 > apache 2.4.7 > web

Puerto 55006 > ssl/pop3 > POP3 (Post Office Protocol versión 3) es un **protocolo de correo electrónico** que permite a un cliente (como Thunderbird, Outlook o una herramienta de pentesting) **recuperar correos electrónicos desde un servidor remoto**.

Puerto 55007 > pop3

Con scripts de nmap hice un reconocimiento del servicio SMTP

<figure><img src="/files/Y8pZydzrlKX9iMkIeT6K" alt=""><figcaption></figcaption></figure>

Luego me identifique las tecnologías de la web.

<figure><img src="/files/dx89PEdjG9OxdHlwYlo5" alt=""><figcaption></figcaption></figure>

Dentro de la web me encontró con un apartado donde me indica una ruta llamada /sev-home/.

<figure><img src="/files/3fHgfVSpGsQ1Fb417gfa" alt=""><figcaption></figcaption></figure>

Seguidamente realice una búsqueda de directorios ocultos usando feroxbuster

<figure><img src="/files/PbkINcc2ytF1miTIwTW4" alt=""><figcaption></figcaption></figure>

Dentro de /sev-home/ me aparece un panel de sesión donde intente colocar credenciales por defecto pero no logre dar con ninguna.

En la ruta /terminal.js hay un comentario donde me indica que la contraseña posiblemente del usuario BORIS se encuentra encodeada en HTML, tambien hay otro usuario llamado Natalya.

<figure><img src="/files/aYAOzkTUYFzBgeH8czMk" alt=""><figcaption></figcaption></figure>

Descifre la contraseña y esta misma la probé en el panel de sesión que aparece en la ruta /sev-home/ tanto con los usuarios boris y natalya siendo boris el usuario correcto.

Leí el código fuente de al nueva pagina y vi que tanto boris y natalya son supervisores despues de esto no hay mas nada que revisar de la web.

<figure><img src="/files/o7WGWmPJsixi2VNZWzjS" alt=""><figcaption></figcaption></figure>

Ingrese al servicio pop3 pero me centro en el puerto 55007 ya que el 55006 es "segura" con estos usuarios y la contraseña pero no funcionaron.

Con hydra realice fuerza bruta a la contraseña de los 2 usuarios donde di con éxito con las 2 contraseñas.

```
hydra -l boris -P /usr/share/wordlists/fasttrack.txt pop3://10.10.122.10 -s 55007
```

<figure><img src="/files/tCOpZlzcyW9HCuTB7Lam" alt=""><figcaption></figcaption></figure>

```
hydra -l natalya -P /usr/share/wordlists/fasttrack.txt pop3://10.10.122.10 -s 55007
```

<figure><img src="/files/WZCb02YmK0p6SgNgr64r" alt=""><figcaption></figcaption></figure>

Use esta web para averiguar si dentro de los email hay algo interesante en las 2 sesiones donde encontré en la sesión de natalya unas credenciales y un dominio

{% embed url="<https://kb.datamotion.com/?ht_kb=how-to-utilize-pop3-protocol-to-access-datamotion-securemail-and-direct-accounts>" %}

<figure><img src="/files/L2HMxerj3smTTsF2BZyd" alt=""><figcaption></figcaption></figure>

Agregue este dominio al host para luego ingresar a la ruta apuntada

Use la credencial de xenia y logre acceder a un CMS llamado MODDLE

<figure><img src="/files/6dSJx74DhewqWp2wKYKp" alt=""><figcaption></figcaption></figure>

Después de realizar una inspección en búsqueda de cosas interesantes encontré en los mensajes una conversación con un usuario llamado DR DOAK.

<figure><img src="/files/3oiXN5tAeB8pHi346EL1" alt=""><figcaption></figcaption></figure>

En el mensaje indica que el su usuario en el email es doak, gracias a esto volvía usar hydra para buscar su credencial, dando con éxito dicha contraseña.

<figure><img src="/files/G31dx7TIQPEs0zXqc2cz" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/X43MprdQU5MZPv1pC5Z4" alt=""><figcaption></figcaption></figure>

Luego de leer los email encontré las credenciales del DR\_DOAK, a estas credenciales las use para entrar al panel de sesión del CMS MODDLE\\

<figure><img src="/files/wczWV5hJjOS6L0okHyCp" alt=""><figcaption></figcaption></figure>

Allí vi que DOAK tiene como contacto al usuario ADMIN (a tener en cuenta)

<figure><img src="/files/Qz7kTpexn6ZGbtXoKe8V" alt=""><figcaption></figcaption></figure>

Revise cada panel y encontré una carpeta con un archivo llamado s3cret.txt, dentro de ese archivo hay una ruta donde al dirigirme me apareció una imagen.

<figure><img src="/files/7rgzrA5Jpn2qjkKXtKBk" alt=""><figcaption></figcaption></figure>

````
```
007,

I was able to capture this apps adm1n cr3ds through clear txt. 

Text throughout most web apps within the GoldenEye servers are scanned, so I cannot add the cr3dentials here. 

Something juicy is located here: /dir007key/for-007.jpg

Also as you may know, the RCP-90 is vastly superior to any other weapon and License to Kill is the only way to play.
````

<figure><img src="/files/oHdcV0pHfzq6mwnQmmkm" alt=""><figcaption></figcaption></figure>

Descargue esta imagen y con exiftool vi algo interesante en la descripción esta encuentra encodeada en base64.

<figure><img src="/files/hFgbWnPDQj9hnqxOxndZ" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/yFkTUB8u3O7jqnPUmERF" alt=""><figcaption></figcaption></figure>

Descifrada me apareció una posible contraseña, a dicha password la probé con varios usuario encontrados a lo largo del camino.. dicha contraseña es valida para el usuario admin.

<figure><img src="/files/L2kgcCBM0myYNXmTYEwe" alt=""><figcaption></figcaption></figure>

Ya dentro del CMS con todos los privilegios empecé a buscar la forma de acceder remotamente dentro de la maquina.

<figure><img src="/files/gcNk0bJC01YaOb9RqiGz" alt=""><figcaption></figcaption></figure>

Busque información sobre exploit para la versión pero no di con ninguna, luego de leer mucho información encontré la forma de aprovechar un error del software que al usar el corrector ortográfico de TINYMCE se puede acceder remotamente.

Para lograr este acceso realice los siguiente pasos.

Me dirigí a la ruta de sistemas y cambie el contenido de "path to aspell" por una rever Shell en Python, luego lo guarde

<figure><img src="/files/qAkggIT4NtXeTjIh3fGJ" alt=""><figcaption></figcaption></figure>

Fui a plugins > TinyMCE HTML editor y modifique el "spell engine" a "PSellShell"

<figure><img src="/files/D9s5Jz7nWNgPXNhjalxt" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/jclX0kZK77ifzOA1wmym" alt=""><figcaption></figcaption></figure>

Acá viene el acceso remoto, luego de hacer lo anterior me traslade a "Blog" y agregue una nueva entrada, allí coloque cualquier nombre como de titulo como en el body.

En otra terminal me puse en escucha con netcat

<figure><img src="/files/IENuLyAmrH4ZE85NEix6" alt=""><figcaption></figcaption></figure>

Una vez terminado esto corregí el error ortográfico y la pantalla se congelo y en el netcat vi que la conexión fue exitosa.

<figure><img src="/files/ag8VkqlIrylWITA82lxD" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/cEBcjuzBxzlKL1yWWRYT" alt=""><figcaption></figcaption></figure>

Ahora con el acceso remoto listo realice una inspección manual rápidamente y luego ejecute linpeas.

Desde ya vi que hay otros usuario y no encontré ninguna tipo de forma de pivotear a tales usuarios, pero enumere le kernel de linux y vi que esta muy desactualizado.

Para una mejor búsqueda use linpeas y vi que es vulnerable a overlayfs

<figure><img src="/files/UyQNxprFI35MDZevWL00" alt=""><figcaption></figcaption></figure>

Para explotar esto descargue un exploit de searchsploit o de la URL indicada allí.

Verifique que gcc este instalado en la maquina pero este no fue el caso, busque otra variante y vi que cc también se puede utilizar así que revise y se encuentra instalado.

Antes de subir el exploit lo modifique para que sea compilable con cc.

<figure><img src="/files/UJH19cvc1pA0KtyWb6Br" alt=""><figcaption></figcaption></figure>

Subí el exploit modificado y realice el compilado correspondiente para ejecutar el exploit.

```
www-data@ubuntu:/tmp$ cc 37292.c -o exploit
www-data@ubuntu:/tmp$ chmod +x exploit 
www-data@ubuntu:/tmp$ ./exploit 
```

Con esto logre el acceso a root.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://1gnotus.gitbook.io/ignotus_pwn/tryhackme/writeups/maquina-gold-eyes-brute-force-pop3-smtp-mail-cms-moodle-2.2.3-error-ortografico-privesc-kern.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.