Debugsec

Fase de reconocimiento

Primero iniciamos con un escaneo de nmap, encontramos los puertos 22 (ssh) y 80 (http) abiertos, y despues lanzamos un whatweb para ver que tenemos en el puerto 80 y nos da error, vamos a añadir a /etc/hosts la IP y el dominio, en este caso "debugsec.thl"

nmap -sSVC -Pn -min-rate 5000 -vvv -open IP

Vamos a ver que hay adentro de la pagina (si no os carga y os va a buscar los resultados envede la pagina web, teneis que poner explicitamente "http://debugsec.thl", lo digo porque yo cuando empece tenia muchos errores en los write-ups no lo explicaban bien para los nuevos)

Fase de intrusión

Nos enfrentamos a un wordpress, asi que vamos a hacer uso de la herramienta wpscan en busqueda de plugins vulnerables, y nos encontramos un plugin vulnerable, busco en google y encuentro en github un exploit en .py

wpscan --url debugsec.thl

Lo descargamos y editamos el parametro de url

(git clone URL)

Ya hemos obtenido el hash, ahora vamos a desencriptarlo con hashcat o tambien lo podemos hacer con john, a mi me ha ido mucho mas rapido con john

Iniciamos sesion en "wp-admin" wordpress:mcartney

Ahora he intentado cambiar algun .php para añadir un cmd pero no me deja, voy a subir una revershell como si fuera un plugin, para hacer esto hare uso de la herramienta wordpwn, este exploit hace uso de un modulo de metasploit, asi que tambien podrias hacer solo uso de metasploit para obtener shell. El codigo de github que he descargado no me funciona, asi que voy a directamente usar el metasploit y me quito de rollos jajajaj.

Abrimos metasploit con "msfconsole" y buscamos el modulo

Introducimos "options" y configuramos las opcciones haciendo uso de "set", ejemplo "set PASSWORD mcarney"

(Revisamos los usuarios)

Si navegamos a /opt podemos encontrar un id_rsa, lo pasamos a nuestra maquina atacante, ahora vamos a pasar con ssh2john el hash y con john vamos a proporcionarle el rockyou y el hash

Con la contraseña que hemos obtenido, vamos a iniciar sesion por el puerto ssh (22), el cual antes en el escaneo de nmap vimos que estaba abierto, como decia, vamos a inciar sesion haciendo uso del id_rsa y la contraseña q hemos conseguido con john.

Antes de iniciar sesion debemos darle permisos 600 al id_rsa

Escalación de privilegios

Hacemos un sudo -l que nos releva que root puede ejecutar gmic

Ejecutamos este comando y hubieramos conseguido root

Las flags como siempre estan en /root y /home/user (en este caso debugsec)

PreviousResidentNextCachopo

Last updated