Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

En este caso podemos ver que son 2 los puertos activos: el 22 (SSH) y el 8080 (Web).

Los parámetros utilizados son:

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
• -sC : Realiz una escaneo con los scripts basicos de reconocimiento
• -sV : Realiza un escaneo en buqueda de los servicios
• –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
• -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
• -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Nos encontramos ante un panel de búsqueda

Al realizar una búsqueda vemos que nos aparece una nueva variable llamada «busqueda»

Esto nos hace pensar que deberíamos hacer un reconocimiento para ver si encontramos mas directorios.
Al ver que la web tiene php, vamos a fuzzear por extensiones que contengan php;

Pero nos encontramos con una pagina en blanco, vamos a ver si podemos encontrar algún tipo de vulnerabilidad entorno a Local FIle Inclusion, para ello vamos a fuzzear en búsqueda de códigos de estado 200 que apunten al archivo etc/passwd.

Como vemos hemos encontrado el archivo y podemos enumerar dos usuarios, root y bananaman,

Tras continuar con la enumeración de directorios y no encontrar nada, me veo forzado a hacer fuerza bruta a ssh aun teniendo en cuenta que la versión es de las ultimas, pero hay que probarlo todo; y encontramos una contraseña para el usuario bananaman

Si accedemos mediante ssh vemos que el usuario bananaman puede ejecutar find sin necesidad e contraseña y con privilegios de root

Si buscamos el binario en gtfobins encontramos como escalar los privilegios;

Asi que probamos y efectivamente accedemos como root.