Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
• -sC : Realiz una escaneo con los scripts basicos de reconocimiento
• -sV : Realiza un escaneo en buqueda de los servicios
• –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
• -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
• -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Vemos que se esta aplicando Virtual hosting puesto que no carga nada y esta apuntando a un dominio «aceituno.thl»

Vemos que es un WordPress pero tras examinarlo con numerosas herramientas como «»wpscan» o «nuclei» no nos saca nada pero…

En el código fuente vemos un plugin desactualizado y con mucho peligro.

Intrusión

Tras la versión del plugin encontrada nos encontramos con un exploit en el cual tenemos que indicar la ruta donde esta instalado WordPress y la ruta de una publicación.

Al ejecutarlo obtenemos un «webshell»

Vamos a ejecutar una revshell para obtener un mejor acceso a la maquina en este caso con «busybox»

Al acceder a la maquina, sabiendo que es un WordPress vamos a acceder al archivo «wp-config.php» para ver la contraseña de la base de datos.

Accedemos a la maquina y vemos una tabla que no suele estar en la base de datos de wordpress

Vemos un usuario y contraseña, la cual nos indica que es del usuario aceituno.

Y efectivamente podemos acceder.

Escalada de privilegios

Como permisos «sudoers» nos encontramos con el binario «most» para leer archivos.

En esta caso haremos para ver la id_rsa de root.

Pero de forma mas sencilla ejecutaremos una «/bin/bash» usando la combinación de teclas (SHIFT + W +E) y escribiendo «!/bin/bash/».