Convert

Fase de reconocimiento

nmap -p- -sSVC --min-rate 5000 192.168.8.114 -oG allPorts -vvv

Primero hago un escaneo con nmap para ver que puertos abiertos tiene la IP de nuestra maquina victima, y me encuentro con los puertos 22 (ssh) y 80 (http) abiertos, entro en la IP y me encuentro la siguiente web:

Vamos crear un archivo, abrir un servidor python para poder poner una url en la web y descargamos el archivo:

Fase de intrusión

Con exiftool veo que esta hecho con dompdf 1.2.0, busco en internet vulnerabilididades y doy con esta pagina web la cual enseña como explotar dicha vulnerabilidad Haz click aqui!:

Primero necesitaremos correr el siguiente comando para a continuación:

Poder meter al final la reverse shell la cual nos dara acceso a esta maquina, a continuación, hacemos un nano del archivo creado y le añadimos al final la reverse shell la cual podreis encontrar en la pagina previamente mencionada (Truquito para ir hasta la ultima linea presionar ctrl+fin):

Abrimos otra pestaña y nos ponemos a la escucha por el puerto que hemos definido en la reverse shell

Creamos un .css con un nano y introducimos nuestra IP y al puerto que estaremos escuchando:

Cabe recalcar que hemos puesto nuestra IP porque vamos a abrir un servidor con python desde el cual este css cargara nuestro .php que contiene nuestra reverse shell, así, cargando la reverse shell maliciosa y consiguiendo acceso a la maquina. Abrimos el servidor de python:

Nos creamos un .html el cual lo que hará es cargar el .css previamente creado, el cual a su vez cargara la reverse shell que nos dara acceso a el sistema/maquina:

Subimos el .html:

A continuación codificamos en md5sum como se veria la solicitud a nuestra reverse shell, que es como internamente tiene el sistema guardada nuestro archivo:

Entramos a el archivo y a nuestra maquina atacante nos debería llegar la reverse shell:

Escalación de privilegios

Depuración de tty

Hacemos un sudo -l para ver que archivos podemos ejecutar y nos encontramos que todos pueden ejecutar /home/eva/pdfgen.py, así que nos dirigimos al directorio y revisamos si podríamos editar el contenido del archivo, y en efecto podemos editar el archivo:

Vamos a borrar el archivo y crear otro con el mismo nombre el cual nos de acceso root al sistema:

Ya tendriamos acceso root, las flags estan en los mismos sitios de siempre, /root y /home/eva

Last updated