VivifyTech
Last updated
Last updated
Un escaneo de nmap nos muestra los siguientes puertos abiertos:
22 SSH
80 HTTP
3306 MYSQL
33060 MYSQLX
nmap -p- --min-rate 10000 192.168.8.110 -oG allPorts
Hago fuzzing y encuentro que nos enfrentamos antes un wordpress:
Hago un wpscan pero no encuentro nada relevante, en el WordPress podemos apreciar que el usuario sancelisso ha creado varias publicaciones, y en una de ellas podemos encontrar varios usuarios los cuales anotaremos en un archivo.
A mayores también encontramos en "/wp-includes" un archivo .txt con varios usuarios los cuales añadiremos a nuestro directorio de posibles usuarios:
Ahora con los credenciales que hemos obtenido podríamos hacer fuerza bruta por el puerto SSH, intente hacerlo con el rockyou pero tardaba mucho y decidí cambiar a la lista de palabas encontrada en el "/wp-includes", y rápidamente encontre con la contraseña valida:
Iniciamos sesión por el SSH y en el directorio de "/sarah" encontramos la key de gbodja:
Intento ver los permisos SUID y esta vez me deja (A diferencia de antes con el usuario sarah):
Podemos apreciar que podemos ejecutar el binario git como cualquier usuario (Incluyendo el superusuario por supuesto), asi que me voy a revistar GTFOBins para ver si hay algo de información y en efecto la hay, en mi caso voy a correr la siguientes lineas de código:
Somos root!
En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:
Nmap nos ayudo a identificar los puertos abiertos
Hemos recolectado los posibles usuarios del wordpress encontrado haciendo fuzzing con gobuster
Con hydra hemos convertido esos posibles usuarios en información relevante, dando con la contraseña valida
Los permisos SUID estaban mal configurados, lo que nos llevo a la escalada de privilegios y a ser root usando un comando de GTFOBINS
