The Hacker Labs Base

Primero que nada iniciamos por lo de siempre puertos abiertos.

# Nmap 7.94SVN scan initiated Thu Sep 12 06:54:48 2024 as: nmap -sCV -p80,8080 -oN target.txt 172.16.241.193
Nmap scan report for 172.16.241.193
Host is up (0.0010s latency).

PORT     STATE SERVICE VERSION
80/tcp   open  http    Apache httpd 2.4.62 ((Debian))
|_http-generator: FlatPress fp-1.2.1
|_http-title: FlatPress
|_http-server-header: Apache/2.4.62 (Debian)
8080/tcp open  http    Apache httpd 2.4.62 ((Debian))
|_http-server-header: Apache/2.4.62 (Debian)
|_http-open-proxy: Proxy might be redirecting requests
|_http-title: Search Page

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Thu Sep 12 06:55:02 2024 -- 1 IP address (1 host up) scanned in 13.75 seconds

Observamos las versiones y servicios que corren para cada uno de esos dos puertos.

Nos vamos al servicio web donde tenemos este CMS un panel de login donde no poseemos credenciales.

Nos vamos al puerto 8080 y en el buscador si buscamos la palabra juan nos sale esta informacion.

Si pasamos la peticion por el Burp y le pasamos una query SQL, nos sigue mmostrando la misma info.

Intuyendo un SQL si hacemos un ordenamiento, observamos que tenemos 5 columnas.

Sabiendo cuando columnas hay, vamos a enumerar mas, observamos las bases que hay por defecto, pero la que llama la atencion es la ultima que se llama como el CMS que corre en el puerto 80.

Si enumeramos las tablas para la base de datos FlatPress tenemos una tabla llamda login.

Ahora si consultamos las columnas de la tabla login de la base de datos FlatPress, tenemos tres columnas aca id,user y password, vamos a ver las importantes.

Teniendo nocion de las columnas finales hacemos un group concat para observar que se almacena en la columna user y password, tenemos probablemente las credenciales del CMS.

Iniciamos session

Recordar esta parte de versiones y servicios del Nmap nos repostaba la version de este CMS

80/tcp   open  http 
|_http-generator: FlatPress fp-1.2.1

Buscando por internet hay una vuln para esta version del CMS.

Nos montamos lo que nos dice el exploit.

Subimos el archivo.

Observamos que tenemos un RCE.

Nos enviamos un rever a nuesta direccion IP.

Estamos dentro de la maquina.

Si vamos al directorio /opt tenemos un hash.txt que pertece al usuario pedro, nos lo llevaremos a local.

Hacemos fuerza bruta al hash con John y bueno tenemos una contraseña.

Nos convertimos en pedro, si hacemos un id, observamos que pedro esta en el grupo adm.

Si estás en el grupo adm, puedes acceder y leer archivos de logs del sistema en /var/log/, lo que te permite monitorear el funcionamiento y seguridad del sistema sin ser root.

Como el Puerto SSH no esta abierto, lo normal es ir a los log de apache, ya que ahi hay un servicio web si filtramos username tenemos un usuario y contraseña.

Si migramos al usuario flate y hacemos un sudo -l obsevamos que podemos ejecutar awk.

Somo root y maquina resuelta.