Convert
Fase de reconocimiento
nmap -p- -sSVC --min-rate 5000 192.168.8.114 -oG allPorts -vvv
Primero hago un escaneo con nmap para ver que puertos abiertos tiene la IP de nuestra maquina victima, y me encuentro con los puertos 22 (ssh) y 80 (http) abiertos, entro en la IP y me encuentro la siguiente web:
Vamos crear un archivo, abrir un servidor python para poder poner una url en la web y descargamos el archivo:
Fase de intrusión
Con exiftool veo que esta hecho con dompdf 1.2.0, busco en internet vulnerabilididades y doy con esta pagina web la cual enseña como explotar dicha vulnerabilidad Haz click aqui!:
Primero necesitaremos correr el siguiente comando para a continuación:
Poder meter al final la reverse shell la cual nos dara acceso a esta maquina, a continuación, hacemos un nano del archivo creado y le añadimos al final la reverse shell la cual podreis encontrar en la pagina previamente mencionada (Truquito para ir hasta la ultima linea presionar ctrl+fin):
Abrimos otra pestaña y nos ponemos a la escucha por el puerto que hemos definido en la reverse shell
Creamos un .css con un nano y introducimos nuestra IP y al puerto que estaremos escuchando:
Cabe recalcar que hemos puesto nuestra IP porque vamos a abrir un servidor con python desde el cual este css cargara nuestro .php que contiene nuestra reverse shell, asÃ, cargando la reverse shell maliciosa y consiguiendo acceso a la maquina. Abrimos el servidor de python:
Nos creamos un .html el cual lo que hará es cargar el .css previamente creado, el cual a su vez cargara la reverse shell que nos dara acceso a el sistema/maquina:
Subimos el .html:
A continuación codificamos en md5sum como se veria la solicitud a nuestra reverse shell, que es como internamente tiene el sistema guardada nuestro archivo:
Entramos a el archivo y a nuestra maquina atacante nos deberÃa llegar la reverse shell:
Escalación de privilegios
Hacemos un sudo -l para ver que archivos podemos ejecutar y nos encontramos que todos pueden ejecutar /home/eva/pdfgen.py, asà que nos dirigimos al directorio y revisamos si podrÃamos editar el contenido del archivo, y en efecto podemos editar el archivo:
Vamos a borrar el archivo y crear otro con el mismo nombre el cual nos de acceso root al sistema:
Ya tendriamos acceso root, las flags estan en los mismos sitios de siempre, /root y /home/eva
Last updated