VivifyTech

Fase de reconocimiento

Nmap

Un escaneo de nmap nos muestra los siguientes puertos abiertos:

  • 22 SSH

  • 80 HTTP

  • 3306 MYSQL

  • 33060 MYSQLX

nmap -p- --min-rate 10000 192.168.8.110 -oG allPorts

Gobuster

Hago fuzzing y encuentro que nos enfrentamos antes un wordpress:

Fase de intrusión

WpScan ❌

Hago un wpscan pero no encuentro nada relevante, en el WordPress podemos apreciar que el usuario sancelisso ha creado varias publicaciones, y en una de ellas podemos encontrar varios usuarios los cuales anotaremos en un archivo.

A mayores también encontramos en "/wp-includes" un archivo .txt con varios usuarios los cuales añadiremos a nuestro directorio de posibles usuarios:

Hydra

Ahora con los credenciales que hemos obtenido podríamos hacer fuerza bruta por el puerto SSH, intente hacerlo con el rockyou pero tardaba mucho y decidí cambiar a la lista de palabas encontrada en el "/wp-includes", y rápidamente encontre con la contraseña valida:

Escalada de privilegios

Iniciamos sesión por el SSH y en el directorio de "/sarah" encontramos la key de gbodja:

Intento ver los permisos SUID y esta vez me deja (A diferencia de antes con el usuario sarah):

GTFOBins

Podemos apreciar que podemos ejecutar el binario git como cualquier usuario (Incluyendo el superusuario por supuesto), asi que me voy a revistar GTFOBins para ver si hay algo de información y en efecto la hay, en mi caso voy a correr la siguientes lineas de código:

Somos root!

Conclusión

En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:

  • Nmap nos ayudo a identificar los puertos abiertos

  • Hemos recolectado los posibles usuarios del wordpress encontrado haciendo fuzzing con gobuster

  • Con hydra hemos convertido esos posibles usuarios en información relevante, dando con la contraseña valida

  • Los permisos SUID estaban mal configurados, lo que nos llevo a la escalada de privilegios y a ser root usando un comando de GTFOBINS

Last updated