Write-ups

Resolución de la máquina BASE

💢 Plataforma: TheHackersLabs💢

❌Nombre: Base
📈Nivel: AVANZADO
💻SO: Linux
🙋🏽‍♂️Creador: @r0dgar

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Nos encontramos ante un web con un panel de login en el cual no tenemos credenciales.

Asi que visitaremos la web que tenemos en el puerto 80 y podemos ver usuarios.

Capturaremos la petición y enviaremos una inyección SQL para ver si es vulnerable, lo cual vemos que si.

Lo primero es saber el numero de columnas las cuales tenemos y las base de datos que hay.

Sabiendo que la base de datos que necesitamos es la FlatPress, enumeraremos las tablas que tiene.

Consultaremos las tablas que tenemos en esa base de datos.

Y por ultimo el contenido que hay en el user y password, dándonos unas credenciales.

Con SqlMap podemos hacer lo mismo consultando primero las bases de datos que hay.

Consultamos las tablas que tenemos en la base FlatPress.

Y por ultimo le pedimos que nos dumpee todo lo que haya en la columna de login.

Una vez hemos accedido al FlatPress

Subiremos un archivo php para poder obtener una webshell mediante una «imagen» «GIF»

Y vemos que nos lo valida.

Ahora subiremos una revshell de busybox para obtener esa revshell.

Una vez hemos recibido la conexión encontramos un hash, una posible credencial.

Así que traemos el hash a nuestro host y lo rompemos con John dándonos como resultado la credencial.

Teniendo en cuanta que solo tenemos dos usuarios es cuestión de suerte y vemos que podemos acceder al usuario pedro.

Y pedro pertenece al grupo adm, el cual nos da permisos a leer ciertos «archivos privilegiados» que pertenezcan a ese grupo

Empezaremos buscando usuarios en los logs de apache, obteniendo unas credenciales

Una vez accedemos al usuario «flate» vemos que podemos ejecutar awk como root sin necesidad de dar la contraseña.

Por lo que haremos una llamada al sistema estableciendo una bash con permisos de root.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *