# Curling ### 🔍 RECONOCIMIENTO En primer lugar, tras conectarnos a la máquina, utilizamos el comando: ```bash ping -c 1 10.10.10.150 ``` para verificar la conectividad de red.

A continuación, realizamos el comando: ```bash nmap -sC -sV 10.10.10.150 ``` para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Durante el escaneo se identificaron los siguientes puertos abiertos: * **Puerto 22 (SSH):** El puerto 22 está abierto y ejecutando OpenSSH 7.6p1 en un sistema Ubuntu Linux. Se han detectado las claves del host en los algoritmos RSA, ECDSA y ED25519, lo que indica que el sistema permite conexiones seguras mediante SSH. * **Puerto 80 (HTTP):** El puerto 80 se encuentra abierto y ejecuta un servidor web Apache 2.4.29 en Ubuntu. Se ha detectado que el sitio utiliza Joomla! como sistema de gestión de contenidos (CMS), lo que podría ser un posible vector de ataque si existen vulnerabilidades conocidas en la versión instalada. A continuación, se procederá a analizar cada uno de estos servicios en busca de posibles vectores de ataque. ### 🔎 EXPLORACIÓN Se utiliza el comando: ```bash sudo nmap -sCV -p22,80 -v 10.10.10.150 ``` para que nos proporcione más información sobre esos puertos específicamente.

Revisamos el puerto 80.

Vemos que hay dos usuarios posibles **Super User** y **Floris**. Revisando el código fuente encontramos una línea comentada.

Revisando el directorio nos encontramos una contraseña puede ser codificada en **base64**.

``` echo "Q3VybGluZzIwMTgh" | base64 --decode ```

Escaneo para ver los directorios. ```bash ffuf -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -u http://10.10.10.150/FUZZ ```

Vemos que hay un directorio que nos llama la atención llamado `/administrator`.

Nos logueamos con las credenciales obtenidas anteriormente.

### 🚀 **EXPLOTACIÓN** {% embed url="" %}

En **error.php** subimos una Reverse Shell. Nos ponemos en escucha. ``` http://10.10.10.150/templates/protostar/error.php nc -nlvp 4444 ```

Mejoramos la TTY. ```bash python3 -c 'import pty; pty.spawn("/bin/bash")' ``` No tenemos permiso para leer la flag del user. Puedo acceder al archivo `password_backup`, que parece un archivo de volcado en formato hexadecimal. El tipo de archivo es ASCII.

Usando CyberChef, podemos cargar el archivo `password_backup` para procesarlo (para procesar el volcado hexadecimal, haz clic en la varita mágica junto a 'output').

Ahí está la contraseña por lo que iniciamos sesión. ``` ssh floris@10.10.10.151 ```

### 🔐 PRIVILEGIOS Al estar dentro y ejecutar: ```bash whoami ``` aún no somos **root**, por lo que hacemos: ```bash sudo -l ``` para ver si hay algo para explotar. No tenemos permisos SUDO. Descubrimos un proceso automatizado en el directorio `admin-area` que recupera datos desde una URL especificada en un archivo de entrada y almacena la salida en un archivo de reporte. Sospechamos que este proceso es ejecutado por un script que utiliza el comando `curl`, y dado que los archivos son propiedad de `root`, planteamos la posibilidad de acceder a archivos restringidos. Tras investigar un poco, nuestra siguiente estrategia será modificar la ruta `file:////`. Primero, editaremos el archivo de entrada para que ejecute un archivo local y permitiremos que `curl` lo procese. ```bash echo 'url = "file:///root/root.txt"' > input cat report ``` Ya leemos así la flag.