HereBash

Fase de reconocimiento

nmap -p- -sSVC --min-rate 5000 192.168.8.114 -oG allPorts -vvv

Hacemos un escaneo de nmap para ver que puertos tiene abierta está maquina, y son los 22 (SSH) y 80 (HTTP):

Fase de intrusión

En la pagina web principal tan solo encontramos la pagina default de apache, así que voy a usar Gobuster para enumerar posibles directorios ocultos, y encontramos 3 directorios interesantes:

Dentro de estos directorios, encuentro a un bob esponja hecho integramente a base de CSS, interesante (Dentro de sponge/uploads hay un imagen), también un texto, no solo eso, en el directorio scripts, encuentro un fichero "put.php" que al parecer podríamos ejecutar comandos.

Trans romperme la cabeza un rato, me di cuenta que no habia que fuzzear el parametro, sino que había que mandar literalmente como dice en las dos páginas web, por eso siempre es importante leer todo bien.

Intento mandar con el método POST y GET, pero el que funciona es PUT, y no tiene pinta que podamos ejecutar comandos como incorrectamente pensé anteriormente

He intentado hacer fuerza bruta al puerto ssh con el usuario de spongebob sin exito, así que voy a investigar más a fondo sobre la imagen:

Con stegseek logro encontrar un zip dentro de la imagen, pero protegida por contraseña

Sacamos el hash con zip2john y con john extraemos la contraseña:

Extraemos el zip:

Ahora vamos a hacer un ataque de fuerza bruta con hydra, teniendo como contraseña los credenciales obtenidos:

Inicio sesion dentro de rosa por el puerto ssh

Escala de privilegios

Hay un archivo que contiene algo diferente a "xxxxxx:xxxxxx", asi que lo vamos a busar haciendo uso de grep -rv, con -r indicamos que va a buscar de manera recursiva y con v que lo va a hacer de manera silenciosa

Me voy a iniciar sesion como pedro, me voy a su directorio y encuentro un archivo sospechoso

Ahora hago un ls de manera recursiva desde root ya que nos ha dicho que esta fuera de home, añadiendole adiccionalmente un grep para extraer todo lo que tenga nombre juan, y encuentro un archivo que supuestamente segun su nombre tiene la pass

Iniciamos sesión como juan:

Me voy a el directorio home de juan y me encuentro lo siguiente:

Le hago un cat al .bashrc y me encuentro lo siguiente:

Iniciamos sesión como root con los credenciales obetenidos y ya seriamos root!