Campana feliz

Fase de reconocimiento
Primero hacemos un escaneo de nmap para ver los puertos abiertos, y los puertos abiertos son:
22 SSH
8088 HTTP
10000 HTTPS
nmap -p- -sSVC --min-rate 5000 192.168.8.112 -oG allPorts -vvv

Fase de intrusión
En el puerto 8088, no hay un web aparentemente, así que vamos a enumerar los directorios con gobuster, por otra parte en el 10000 hay un webmin pero por ahora voy a hacer fuzzing al 8088:

Dentro de "/shell.php" podemos encontrar un login, y dentro del puerto 8088 hay en el código fuente de la página unos caracteres codificados en base64 (Página web que he usado para decodificarlos Cyberchef):


Con relación a el "/shell.php", ahora podríamos realizar un ataque de fuerza bruta con los caracteres decodificados, yo me voy a hacer una lista de usuarios los cuales podrían ser validos y con hydra voy hacer el ataque:

Iniciamos sesión y nos encontramos con una shell de comandos, así que vamos a mandar una reverseshell a nuestra máquina (Página de revershells):

Escalada de privilegios
Con respecto a la shell obtenida, tenemos que hacer una Depuración de tty para poder interactuar sin problemas con ella. Si hacemos un sudo -l podemos ver que todos los usuarios pueden ejecutar la bash sin proporcionar contraseña, así que abrimos la bash como si fueramos root:

Conclusión
En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:
Enumeración de directorios expuestos en el puerto 8088 mediante fuzzing con Gobuster.
Descubrimiento de credenciales en un mensaje codificado en Base64 dentro del código fuente.
Fuerza bruta contra el login de
/shell.php
con Hydra para obtener acceso a una shell remota.Escalada de privilegios explotando una configuración insegura en
sudo
, que permitía ejecutarbash
sin contraseña.
Last updated