search

linuxHereBash

hashtag
Fase de reconocimiento

nmap -p- -sSVC --min-rate 5000 192.168.8.114 -oG allPorts -vvv

Hacemos un escaneo de nmap para ver que puertos tiene abierta estΓ‘ maquina, y son los 22 (SSH) y 80 (HTTP):

hashtag
Fase de intrusiΓ³n

En la pagina web principal tan solo encontramos la pagina default de apache, asΓ­ que voy a usar Gobuster para enumerar posibles directorios ocultos, y encontramos 3 directorios interesantes:

Dentro de estos directorios, encuentro a un bob esponja hecho integramente a base de CSS, interesante (Dentro de sponge/uploads hay un imagen), tambiΓ©n un texto, no solo eso, en el directorio scripts, encuentro un fichero "put.php" que al parecer podrΓ­amos ejecutar comandos.

Trans romperme la cabeza un rato, me di cuenta que no habia que fuzzear el parametro, sino que habΓ­a que mandar literalmente como dice en las dos pΓ‘ginas web, por eso siempre es importante leer todo bien.

Intento mandar con el mΓ©todo POST y GET, pero el que funciona es PUT, y no tiene pinta que podamos ejecutar comandos como incorrectamente pensΓ© anteriormente

He intentado hacer fuerza bruta al puerto ssh con el usuario de spongebob sin exito, asΓ­ que voy a investigar mΓ‘s a fondo sobre la imagen:

Con stegseek logro encontrar un zip dentro de la imagen, pero protegida por contraseΓ±a

Sacamos el hash con zip2john y con john extraemos la contraseΓ±a:

Extraemos el zip:

Ahora vamos a hacer un ataque de fuerza bruta con hydra, teniendo como contraseΓ±a los credenciales obtenidos:

Inicio sesion dentro de rosa por el puerto ssh

hashtag
Escala de privilegios

Hay un archivo que contiene algo diferente a "xxxxxx:xxxxxx", asi que lo vamos a busar haciendo uso de grep -rv, con -r indicamos que va a buscar de manera recursiva y con v que lo va a hacer de manera silenciosa

Me voy a iniciar sesion como pedro, me voy a su directorio y encuentro un archivo sospechoso

Ahora hago un ls de manera recursiva desde root ya que nos ha dicho que esta fuera de home, aΓ±adiendole adiccionalmente un grep para extraer todo lo que tenga nombre juan, y encuentro un archivo que supuestamente segun su nombre tiene la pass

Iniciamos sesiΓ³n como juan:

Me voy a el directorio home de juan y me encuentro lo siguiente:

Le hago un cat al .bashrc y me encuentro lo siguiente:

Iniciamos sesiΓ³n como root con los credenciales obetenidos y ya seriamos root!

PreviousLittlepivotingNextDificil

Last updated