Diff3r3ntS3c

🔍 Dificultad: Muy Fácil

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 192.168.1.64

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap -p- --open 192.168.1.64 --min-rate 5000 -n

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo el puerto 80 perteneciente al servicio HTTP está abierto, por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p80 -v 192.168.1.64

para obtener más información sobre ese puerto específicamente.

Revisamos el puerto 80.

🚀 EXPLOTACIÓN

Vemos que se pueden subir archivos pero con una extensión poco común que es .phtml por lo que subimos una Reverse Shell con esa extensión.

Online - Reverse Shell Generator

Revisamos directorios para ver dónde se ha subido.

gobuster dir -u http://192.168.1.64 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,txt,php,xml

Hay un directorio /uploads por lo que se habrá subido ahí.

Nos ponemos en escucha.

Hacemos el tratamiento de la TTY para trabajar más cómodos.

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar. No tenemos permisos SUDO.

En el directorio /home/candidate hay un directorio oculto y que contiene un archivo.

Revisando el /etc/crontab se ejecuta cada minuto el script.

Modificamos el contenido del archivo para que cuando se ejecuta nos haga una conexión remota.

Al ponernos en escucha y recibir la conexión vemos que ya nos conectamos como root.