OffSec Inferno
Última actualización
Última actualización
Ahora vamos a ver los puertos abiertos usando nuestra herramienta de confianza NMAP. La cual nos muestra que tenemos dos.
Ahora seguimos usando NMAP para observar la version que corre para los dos puertos abiertos.
Si vamos al puerto 80 nos muestra esto nada mas, una pagina web simple. A la cual le haremos fuzzing para descubrir directorios ocultos o subdominios si fuera el caso.
Utilizando wfuzz fuzzeamos en busca de directorios y tenemos uno interesante /inferno.
Si vamos al directorio observamos que tiene un panel de credenciales las cuales no tenemos para entrar.
Indagando logre obtener el usuario el cual era admin, ya conociendo el usuario hacemos un ataque de fuerza bruta utilizando hydra el cual tardo un poco en encontrar la contraseña.
Con las credenciales iniciamos session y tenemos un CMS llamado CODIAD.
Ahora si usamos searchsploit buscamos para buscar posibles vulnerabilidades para este CMS, tenemos varias. Pero la que nos intersa seria la cual podemos ejecutar codigo remoto AUTENTIFICADO.
Ahora como paso numero uno nos lo descargamos a nuestro directorio de trabajo, y le cambiamos el nombre a algo mas descriptivo.
Ahora si abres el codigo trae instrucciones de como hacerlo y ganar acceso.
Ahora como punto numero uno ejecutamos el script poniendo respectivamente primeramente la URL seguido del directorio las credenciales y nuestra direccion IP a donde enviaremos la REVER y la plataforma, que en este caso es un linux.
Punto numero dos pegamos esta cadena que nos genera automaticamente cuando hacemos el primer paso y la ejecutamos.
Ahora como punto numero tres nos ponemos en escucha con NETCAT por el puerto 444. Ahora volvemos al primer paso y le damos a Y despues de haber puesto en escucha los dos ultimos comandos y observamos que obtenemos acceso como el usuario WWW-DATA.
Ya dentro de la maquina tenemos este archivo que esta en hexadecimal, por detras hay un texto hay una forma de leer en texto claro esto reconvertirlo al texto original antes de ser hexadecimal.
Aca lo convertimos a lo que originalmente era antes de ser hexadecimal usando xxd -ps.
Tenemos un usuario y una posible credenciales que usaremos en SSH ya que esta expuesto.
Usamos las credenciales y nos conectamos por SSH como el usuario dante hemos medianamente nuestros privilegios de forma lateral ahora no somos WWW-DATA si no dante. Ahora solo falta convertirnos en ROOT.
Si hacemos un sudo -l observamos que podemos ejecutar tee sin proporcionar contraseña, que es tee.
Tee en Linux es una utilidad que se utiliza para leer desde la entrada estándar (por ejemplo, la salida de otro comando o el contenido de un archivo) y escribir los datos tanto en la salida estándar como en uno o más archivos. lo cual nos podria ayudar a escalar nuestros privilegios sobre/escribiendo el /etc/sudoers
Y es justo lo que hacemos sobre/escribir el /etc/sudoers asignando el privilegio a dante que puede ejecutar cualquier comando sin proporcionar contraseña.
Observamos que si hacemos un sudo su, nos convertimos en root y no eh proporcionado contraseña.
Ahora que ya somos root ya podemos obtener la flag de root el cual es un archivo con la foto de un tipo que es como un tipo de faraon y MAQUINA RESUELTAAAAAAAAA.
