Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
• -sC : Realiz una escaneo con los scripts basicos de reconocimiento
• -sV : Realiza un escaneo en buqueda de los servicios
• –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
• -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
• -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Nos encontraos ante una web de zapatillas.

Si hacemos fuzzing vemos do archivos potencialmente interesantes, un «login.html» y un «includes».

Tras probar numerosos intentos de usuarios y contraseñas por defecto probamos a inyectar comandos como «id» en el campo de contraseña vemos que no valida el input

Vamos a probar a inyectar una revshell, y nos funciona la de «busybox», al inyectarla carga normal y nos puede llegar a despistar.

Pero como vemos conseguimos acceso a la maquina.

Navegado y haciendo una búsqueda rápida entre directorios nos encontramos con una carpeta zip comprimida, al estar protegida por contraseña nos la traemos a nuestro equipo atacante.

Con zip2john sacamos el hash y lo rompemos con john, obteniendo una contraseña.

Dentro del usuario «pronike» a nivel de sudoers tenemos el binario «apt» que lo podemos ejecutar sin proporcionar contraseña como el usuario «proadidas».

Al buscar en gtfobins vemos que podemos escalar privilegios.

Así que lo ejecutamos y nos convertimos en el usuario «proadidas».

De la misma manera el usuario proadidas tiene a nivel de sudoers el binario de «aws» que puede ejecutar sin proporcionar contraseña como root.

En gtfobins vemos que podemos utilizar la ayuda de aws para escalar privilegios.

Y efectivamente conseguimos llegar a ser root.