MAQUINA HAT (FUZZING WEB - BRUTE FORCE FTP - LFI - ACCESS IPV6 - PrivEsc NMAP)
MAQUINA HAT
Durante el pentesting se identifico los puertos abiertos con nmap. Los puertos 80 http y 65535 ftp se encuentra abiertos.
nmap --open -p- -sSCV --min-rate 5000 <ip> -v -n -Pn -oN fullscan
Se observo que la web nos lleva a un panel por default de apache, luego se realizo una búsqueda de directorios con feroxbuster. Se encontró un directorio con extension.log con información sensible.
Se identifico un usuario llamado admin_ftp que logro acceder al ftp. Con hydra se realizo la búsqueda de la contraseña de tal usuario.
Se accedió al servicio ftp con dichas credenciales, una vez allí se identifico una carpeta con archivos interesantes. La clave id_rsa se logro cracker mediante jhon the ripper.
Por motivos que la maquina posee el puerto 22 ssh cerrado, se procede a identificar algunos elementos en la web.
La web contiene un extensión llamada file.php, mediante fuerza bruta de directorios se logro obtener un parámetro identificado como "6" vulnerable a un LFI como también acceso a varias rutas con datos sensibles.
Esto se logro usando wfuzz ya que realizo escaneo en simultaneo para lograr dar con el parámetro y las rutas accesibles.
wfuzz -c -t 50 -z file,/usr/share/wordlists/dirb/common.txt -z file,/usr/share/wordlists/jhadix/etc-passwd.txt --hc 404,403 http://TARGET/FUZZ/FUZ2Z
DATA: COLOQUEN SUS WORDLISTS PARA LA DETECCION DE LOS PARAMETROS Y DEL LFI.
Se identifico que cromiphi es usuario valido del sistema.
Para acceder al sistema se tuvo que utilizar la dirección ipv6, dicha dirección ipv6 se encontró gracias al LFI (/proc/net/if_inet6)
Se muestra 2 direcciones, una global y la otra local.
Formato IPv6: 2800:21e1:4040:06bf:0a00:27ff:fedf:1425
- Esta es una dirección global única
Formato IPv6: fe80::a00:27ff:fedf:1425
- Esta es una dirección link-local (fe80::/64)Se utilizo nmap para escanear los puertos abiertos usando la dirección ipv6 con la opción -6.
Al poseer la contraseña de la id_rsa crackeada se logro con exito el acceso al sistema.
Se constato que al ejecutar los permisos de sudoers (sudo -l ) hay un binario ejecutado por root llamado nmap.
Haciendo uso del recurso "gtfobins" siguiendo los pasos se logro escalar privilegios a usuario root.
Last updated