❌Nombre: Papaya
📈Nivel: Principiante
💻OS: LINUX
🙋🏽‍♂️Creador: CuriosidadesDeHackers & @condor7777

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
• -sC : Realiz una escaneo con los scripts basicos de reconocimiento
• -sV : Realiza un escaneo en buqueda de los servicios
• –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
• -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
• -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Principalmente vemos que tenemos un dominio al que nos redirige, así que lo apuntamos en el /etc/hosts y que podemos entrar por ftp de forma anónima y encontramos un archivo encodeado en rot13.

Que nos dice que no hay nada

En el puerto 80 tenemos Elkarteforum con una versión vulnerable.

Y que podemos entrar con credenciales por defecto elkarte:password.

Para acceder al panel de administración podemos entrar con la contraseña por defecto «password«.

Nos encontramos con un exploit el cual nos indica como establecer una webshell, copiamos el archivo en con una extensión php y lo comprimimos en una zip.

Lo subimos.

E instalamos.

Nos dirigimos a la ruta que nos indica.

Y vemos que funciona.

Así que establecemos una revshell con busy.

Y conseguimos acceso.

Con el usuario www-data encontramos en el directorio /opt un archivo llamado pass.zip.

Lo traemos a nuestra maquina.

Sacamos el hash, lo rompemos y tenemos la contraseña del usuario papaya.

Entramos y vemos que podemos ejecutar como root sin proporcionar contraseña el binario scp.

Mirando en GtfoBins vemos como escalar privilegios.

Y conseguimos ser root.