Escolares
✍️ Autor: Luisillo_o🔍 Dificultad: Fácil 📅 Fecha de creación: 09/06/2024
Last updated
✍️ Autor: Luisillo_o🔍 Dificultad: Fácil 📅 Fecha de creación: 09/06/2024
Last updated
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
para verificar la conectividad de red.
A continuación, se realiza el comando:
para realizar un escaneo de puertos y servicios detallado en la dirección IP.
Como podemos observar durante el escaneo, el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos, por lo que se procederá a indagar más.
Se utiliza el comando:
para obtener más información sobre esos puertos específicamente.
Seguimos indagando más sobre los puertos y ahora exploramos el servicio HTTP. Se ingresó la dirección IP en el navegador, lo que llevó a que la página web sobre una universidad de ciberseguridad.
De primeras, no se nos muestra nada, por lo que revisamos el código fuente por si hay alguna información oculta relevante.
Se nos muestra un comentario que parece ser relevante ya que la información del personal académico está en el directorio /profesores.html por lo que accedemos a él.
Nos llama la atención de Luis ya que pone que es el admin de Wordpress.
Ahora, buscamos directorios con la herramienta Gobuster a través del comando:
Hemos localizado la ruta que necesitábamos, ahora utilizaremos WPscan para identificar la versión específica de WordPress y enumerar los usuarios, con el fin de confirmar los hallazgos anteriores.
Hemos confirmado la existencia del usuario luisillo en el WordPress. Ahora, procederemos a utilizar Hydra para realizar un ataque de fuerza bruta contra este usuario
Con la información obtenida anteriormente, realizamos el comando:
que utiliza la herramienta Hydra para realizar un ataque de fuerza bruta contra el servicio SSH de una máquina con la IP 172.17.0.2. No tenemos suerte por lo que probaremos otra cosa.
Para obtener la contraseña del usuario, utilizaremos la herramienta CUPP (Common User Passwords Profiler), que no viene preinstalada en Kali Linux. CUPP está diseñada para generar listas de contraseñas personalizadas basadas en la información específica del usuario objetivo. Esto es útil porque muchos usuarios suelen crear contraseñas utilizando datos personales, como su nombre, fecha de nacimiento o el nombre de su mascota, en lugar de contraseñas genéricas.
Una vez que hemos instalado CUPP, ejecutamos el siguiente comando en la terminal para iniciarlo en modo interactivo:
Con la lista de contraseñas generada, estamos preparados para llevar a cabo el ataque de fuerza bruta y tratar de obtener credenciales válidas.
La contraseña del usuario luisillo es Luis1981. Probamos las credenciales en el formulario del Wordpress.
Nota: si nos da error http://172.17.0.2/wordpress/wp-login.php se debe añadir el dominio a /etc/hosts es decir, añadir 172.17.0.2 escolares.dl y reiniciar la página.
Nos deja entrar cuando quitamos el bloqueo de las cookies.
Accede al archivo index.php en la ruta wp-content/themes/twentytwentytwo/ de tu instalación de WordPress y modifica el archivo con el siguiente código PHP:
Luego, abre tu navegador y accede a la siguiente URL para ejecutar comandos:
Al ejecutar el comando whoami, deberías ver el resultado en la página, que indicará el usuario bajo el cual se está ejecutando el servidor web que es www-data. Sabiendo que podemos ejecutar cualquier comando, vamos a realizar una reverse shell utilizando la página web por lo que subimos este archivo PHP https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php
Después de ejecutar el comando codificado en la URL, la página puede quedarse cargando indefinidamente. Esto indica que la solicitud está en proceso, pero no necesariamente significa que ha fallado.
Nos ponemos en escucha por el puerto 443:
Al estar dentro y ejecutar:
aún no somos root ya que somos www-data como se mostraba anteriormente.
Para facilitar la interacción con la shell, migraremos a una sesión de bash más funcional. Esto es necesario porque en la shell actual no podemos utilizar las teclas de flecha ni acceder al historial de comandos. Ejecutando el siguiente comando, iniciamos una nueva sesión de bash sin registrar la actividad en ningún archivo:
Estamos ejecutando comandos como el usuario www-data, lo que significa que nuestros permisos son limitados. Sin embargo, podemos intentar explorar el directorio /home para ver si encontramos algo interesante. Al revisar el contenido de /home, además de los directorios de usuarios, encontramos un archivo llamado secret.txt. Este archivo contiene la contraseña de un usuario llamado Luisillo, lo que podría ser útil para obtener acceso adicional.
Nos conectamos al sistema como el usuario Luisillo. Ahora que tenemos acceso como un usuario normal, navegamos a su carpeta personal y listamos el contenido, pero no encontramos nada relevante. Sin embargo, al ejecutar sudo -l, descubrimos que podemos elevar privilegios utilizando el binario awk.
Visitamos la página de GFTOBins para buscar una forma de escalar privilegios usando el binario awk. En la sección correspondiente a awk bajo el contexto de sudo, encontramos el comando que nos permitirá abusar de este binario para obtener privilegios de root. Puedes revisar los detalles en el siguiente enlace:
Tras eso, ponemos:
y ya somos root.
