❌Nombre: Huevos Fritos
📈Nivel: AVANZADO
💻OS: Linux
🙋🏽‍♂️Creador: CuriosidadesDeHackers & condor7777

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
• -sC : Realiz una escaneo con los scripts basicos de reconocimiento
• -sV : Realiza un escaneo en buqueda de los servicios
• –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
• -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
• -Pn: Deshabilitamos el descubrimiento de host mediante ping.

En el puerto 80 nos encontramos un panel de apache por defecto.

Si fuzeamos nos encontramos con un archivo peculiar.

En el cual parece que podemos subir archivos.

Así que utilizaremos la reverse shell de Pentest monkey en php puesto que la web esta en php.

y la subiremos, damos por hecho que las credenciales son admin:admin.

Pero parece que hay un problema con el tipo de archivo.

Capturamos la petición con burpsuite.

Y lanzamos un ataque de lista simple con extensiones.

Y vemos que la extensión «.phar» le gusta.

Así que le cambiamos la extensión y efectivamente se sube.

Comprobamos y así es.

En el código fuente nos encontramos un directorio curioso.

Si nos dirimimos a el nos encontramos con nuestra archivo.

Nos podemos en escucha y recibimos la conexión.

En el directorio /var/backup nos encontramos un archivo oculto con una id_rsa.

Y enumeramos usuarios, uno en concreto «huevosfritos«.

Copiamos la id_rsa, sacamos el hash y lo rompemos con John para obtener el passphrase.

Una vez dentro vemos que podemos ejecutar como root sin proporcionar contraseña python3.

Así que ejecutaremos una /bin/sh haciendo una funciona al sistema con Python, convirtiéndonos en root.