OffSec Sick0s

Ahora hacemos un reconocimiento con nmap para detectar que puertos estan abiertos en el host

# Nmap 7.94SVN scan initiated Wed Dec 27 18:20:39 2023 as: nmap -sCV -p22,3128 -oN target.txt 192.168.1.137
Nmap scan report for 192.168.1.137
Host is up (0.0018s latency).

PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 09:3d:29:a0:da:48:14:c1:65:14:1e:6a:6c:37:04:09 (DSA)
|   2048 84:63:e9:a8:8e:99:33:48:db:f6:d5:81:ab:f2:08:ec (RSA)
|_  256 51:f6:eb:09:f6:b3:e6:91:ae:36:37:0c:c8:ee:34:27 (ECDSA)
3128/tcp open  http-proxy Squid http proxy 3.1.19
|_http-title: ERROR: The requested URL could not be retrieved
| http-open-proxy: Potentially OPEN proxy.
|_Methods supported: GET HEAD
|_http-server-header: squid/3.1.19
MAC Address: 08:00:27:AE:CE:2C (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Dec 27 18:20:56 2023 -- 1 IP address (1 host up) scanned in 16.91 seconds

Tenemos dos puertos un ssh y un Squid Proxy.

Si le lanzamos un curl al Squid proxy en el puerto 3128 observamos que nos responde pero si vamos a la web no nos lo carga.

Tenemos que añadir un nuevo proxy a nuestro foxy proxy para ver el contenido de la web. Añadimos IP y puerto donde corre.

Con el proxy seteado observamos que ahora si nos carga la pagina web.

Hacemos algo de fuzzing usando gobuster pero recuerde que debe siempre pasar por el proxy si no no le respondera la web.

Encontramos tres directorios, vamos a verlos.

En robots.txt nos da la pista de lo que parece ser un gestor de contenido.

Y efectivamente tenemos un gestor de contenido, vamos a ver que podemos hacer, el gestor se llama wolf. Vamos a buscar vulnerabilidades.

Usando searchsploit encontre esto que bajo la ruta /?/admin osea estando logueado podemos subir un archivo sea cual sea, pero obviamente nosostros le vamos a colar un .php.

Y buenos nos vamos a la ruta que nos dicen en le poc y tenemos un panel de login, donde el usuario y contraseña es admin y admin.

Siempre pruebo contraseñas por defecto si nada funciona fuerza bruta en este caso estas son validas.

Ya dentro nos vamos a la ruta donde nos dice el poc.

Este shell la puedes encontrar en ponki pentester o en github, cambiamos nuestra IP y seteamos el puerto por donde escucharemos.

Subimos el archivo y ahora solo es buscar donde se almacena la ruta a donde va despues de estar subido.

El CMS tenia expuesto el directorio public donde se subio nuestro archivo malicioso y como observamos a la derecha hemos ganado acceso al sistema.

Nos vamos al directorio donde normalmente se almacena contenido para exponer la web y bueno encontramos supuestas credenciales de root pero eh mentira.

Son las credenciales del ssh del usuario sickos.

Cuando haciamos fuzzing en la imagen seis, habia un directorio connect que si lo buscas te descargas un script en python que este scritp esta aca en la ruta /var/www/html la tipica y tenemos permiso de escritura y ejecucion.

Tonces asi que lo alteramos de esta manera para convertirnos en root.

Ejecutamos el script y nos ponemos en escucha con otro terminal y listo somos root