❌Nombre: Debugsec
📈Nivel: Avanzado
💻OS: LINUX

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
• -sC : Realiza una escaneo con los scripts básicos de reconocimiento
• -sV : Realiza un escaneo en buqueda de los servicios
• –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
• -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
• -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Tenemos un wordpress por defecto.

Con wpscan haremos una enumeración básica.

Y encontramos un plugin vulnerable catalogado con CVE-2024-1698.

Además nos saltan PopUps de comentarios de usuarios.

Ejecutaremos el script del plugin vulnerable, el cual automatiza una inyección SQL en la base de datos para obtener el hash de administrador del WordPress.

Rompemos el hash y nos saca la contraseña.

Una vez dentro para obtener la revshell utiizaremos wrodpwn, el cual nos crea una revhsell en formato zip y nos da ina rutas que mas tarde veremos para que son.

Una vez creado como «malicious.zip».

Lo subiremos como si fuese un plugin.

Utilizaremos una de las rutas que nos a proporcionado para ejecutar el archivo que contiene la revshell, lo beueno de este script es que nos automatiza una sesion con meterpreter estando a la escucha con el puerto que le asignamos.

Obtenemos acceso.

Y vemos que en el directorio /opt obtenemos una id_rsa.

Como siempre, sacamos el hash y lo rompemos con john.

Le damos permiso 600 y entramos como debugsec.

Vemos que podemos ejecutar el binario gmic como root sin proporcionar contraseña.

Utilizaremos Gmic para ejecutar una bash con permisos de root.