Campana feliz

Fase de reconocimiento

Primero hacemos un escaneo de nmap para ver los puertos abiertos, y los puertos abiertos son:

  • 22 SSH

  • 8088 HTTP

  • 10000 HTTPS

nmap -p- -sSVC --min-rate 5000 192.168.8.112 -oG allPorts -vvv

Fase de intrusión

En el puerto 8088, no hay un web aparentemente, así que vamos a enumerar los directorios con gobuster, por otra parte en el 10000 hay un webmin pero por ahora voy a hacer fuzzing al 8088:

Dentro de "/shell.php" podemos encontrar un login, y dentro del puerto 8088 hay en el código fuente de la página unos caracteres codificados en base64 (Página web que he usado para decodificarlos Cyberchef):

Con relación a el "/shell.php", ahora podríamos realizar un ataque de fuerza bruta con los caracteres decodificados, yo me voy a hacer una lista de usuarios los cuales podrían ser validos y con hydra voy hacer el ataque:

Iniciamos sesión y nos encontramos con una shell de comandos, así que vamos a mandar una reverseshell a nuestra máquina (Página de revershells):

Escalada de privilegios

Con respecto a la shell obtenida, tenemos que hacer una Depuración de tty para poder interactuar sin problemas con ella. Si hacemos un sudo -l podemos ver que todos los usuarios pueden ejecutar la bash sin proporcionar contraseña, así que abrimos la bash como si fueramos root:

Conclusión

En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:

  1. Enumeración de directorios expuestos en el puerto 8088 mediante fuzzing con Gobuster.

  2. Descubrimiento de credenciales en un mensaje codificado en Base64 dentro del código fuente.

  3. Fuerza bruta contra el login de /shell.php con Hydra para obtener acceso a una shell remota.

  4. Escalada de privilegios explotando una configuración insegura en sudo, que permitía ejecutar bash sin contraseña.

Last updated