Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
• -sC : Realiz una escaneo con los scripts basicos de reconocimiento
• -sV : Realiza un escaneo en buqueda de los servicios
• –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
• -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
• -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Nos encontramos ante una web.

Nos encontramos con otra web con la cual no tenemos credenciales

Si fuzzeamos nos encontramos con un directorio muy curioso.

Vamos a fuzzear buscando archivos con extenciones principales para un ataque ShellShock.

Efectivamente tenemos conexión así que vamos a realizar un ataque Shellshock.

Usando curl mediante for boom attack vamos a lanzarnos una reverseshell.

Una vez dentro vemos un archivo oculto con unas credenciales.

Las cuales nos sirven para el anterior aplicativo web.

Una vez dentro al ejecutar algo nos dice que no somos admin.

Esto nos indica que podíamos probar un ataque Prottotype Pollution añadiendo la propiedad isAdmin:true.

Añadimos la propiedad, eliminamos la cookie y establecemos el formato json.

Una vez dentro nos da permisos para descargar archivos.

Así que volvemos a capturar la petición en formato json y le vamos a pasar una revshell como url.

Recibimos la conexión como usuario jaula.

Y vemos que podemos ejecutar como root y sin proporcionar contraseña el binario java.

Con msfvenom vamos a crear una revshell con extensión .jar y la enviamos a nuestra maquina victima.

Lo ejecutamos.

Y recibimos la conexión.