RODGAR
  • Whoami
  • ACTIVE DIRECTORY
    • HackTheBox Scrambled
    • HackTheBox Forest
    • HackTheBox Escape
    • HackTheBox Authority
    • HackTheBox Support
    • HackTheBox Return
    • HackTheBox Timelapse
    • HackTheBox Administrator
    • HackTheBox Cicada
    • ⛔HackTheBox Vintage
    • HackTheBox Sauna
    • HackTheBox Active
  • CTF WRITEUP's
    • TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • VulnHub
      • Inferno
      • Election
      • SYMFONOS 3
      • SYMFONOS 2
      • DJinn-3
      • Durian 1
      • DarkHole 2
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • Hackmyvm
      • Hackmyvm UP
    • Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
  • Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • Shared Files
    • Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • Share Linux
      • Compartir de linux en [PHP]
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • Group 1
    • Recursos
Con tecnología de GitBook
En esta página
  • SMBMAP
  • WPSCAN
  • Escalada de Privilegios
  1. CTF WRITEUP's
  2. TryHackme

TryHackme Blog

¡Billy Joel hizo un blog en Wordpress!

AnteriorTryHackme Daily BugleSiguienteTryHackme Year of the Owl

Última actualización hace 1 año

Bueno hoy vamos a resolver la maquina Blog de dificultad media.

Primeramente lo tipico ver puertos que estan abiertos usando Nmap.

# Nmap 7.94SVN scan initiated Wed Nov 15 19:00:05 2023 as: nmap -sCV -p22,80,139,445 -oN target.txt 10.10.238.78
Nmap scan report for blog.thm (10.10.238.78)
Host is up (0.062s latency).

PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 57:8a:da:90:ba:ed:3a:47:0c:05:a3:f7:a8:0a:8d:78 (RSA)
|   256 c2:64:ef:ab:b1:9a:1c:87:58:7c:4b:d5:0f:20:46:26 (ECDSA)
|_  256 5a:f2:62:92:11:8e:ad:8a:9b:23:82:2d:ad:53:bc:16 (ED25519)
80/tcp  open  http        Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Billy Joel's IT Blog – The IT blog
|_http-generator: WordPress 5.0
|_http-server-header: Apache/2.4.29 (Ubuntu)
| http-robots.txt: 1 disallowed entry 
|_/wp-admin/
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 4.7.6-Ubuntu (workgroup: WORKGROUP)
Service Info: Host: BLOG; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: 18m02s, deviation: 0s, median: 18m02s
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.7.6-Ubuntu)
|   Computer name: blog
|   NetBIOS computer name: BLOG\x00
|   Domain name: \x00
|   FQDN: blog
|_  System time: 2023-11-15T19:18:20+00:00
|_nbstat: NetBIOS name: BLOG, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb2-time: 
|   date: 2023-11-15T19:18:20
|_  start_date: N/A
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Nov 15 19:00:22 2023 -- 1 IP address (1 host up) scanned in 17.44 seconds

Ahora seguimos usando Nmap para sacar las versiones y servicios que corren para cada uno de los puertos abiertos.

Ahora tenemos que añadir la direcion IP a nuestro /etc/host ya que se esta haciendo un follow redirect, ahora ya con la IP en nuestro /etc/hosts nuestra maquina ya sabe a donde apuntar.

Si nos vamos a la web parece ser un template de wordpress, ademas lo intuyo porque en el escaneo para versiones y servicios me salia un directorio llamado /wp-admin/ que luego lo veremos

SMBMAP

Ahora haciendo uso de SMBMAP y crackmapexec y smbclient buscamos cosas y encontramos cosas en el puerto 445 pero nada de lo hay ahi sirve para nada asi que seguimos.

Si hacemos estenografia sobre los archivos que nos encontramos no encontramos casi nada.

Si hacemos uso de whatweb nos dice que estamos ante un wordpress de version 5.1.

WPSCAN

Si hacemos uso de la herramienta wpscan observamos que tenemos posibles usuarios del sitio.

Si vamos al directiro /wp-admin/ tenemos que dos de los usuarios son validos el usuario bjoel y kwheel. Ahora procedemos a hacer un ataque de fuerza bruta usando el mismo WPSCAN.

Con estos parametros le pasamos los usuarios validos y una lista de palabras con las cuales probar.

Pues despues de casi quince minutos encontro la contraseña para el usuario kwheel. Vamos a loguearnos al /wp-admin/.

Nos logueamos con las credenciales encontradas y estamos dentro, ahora solo falta ganar acceso a la maquina.

Si hacemos msf6 observamos que existe una vulnerabilidad para esta version haci que haremos uso de este.

Si hacemos un show options nos da los parametros a rellenar. proporcionamos el usuario la contraseña el RHOST de la maquina de tryhackme y el LHOST la IP local que nos da la VPN y listo.

  • Si le damos a run observamos que ganamos acceso si hacemos un id somos www-data.

  • Como punto dos vamos a neviarnos esta sesion a una shell de las que estoy acostumbrado ya que uso muy poco metasploit, en el punto dos se observa como me la envio.

  • Como tercer lugar pues me pongo en escuha y tengo acceso nuevamente, ahora hacemos el tratamiento de la TTY y listo a buscar como escalar privilegios.

Si le hacemos un cat al config.php tenemos las credenciales de la base de datos que no nos serviran para nada pero aca las tienes.

Nos conectamos a la base de datos y nos vamos a la base de datos blog.

Si listamos las tablas tenemos las contraseñas en formato no legible para los dos usuarios que eran validos en el login del wordpress. Contraseñas que ya tenemos una.

Escalada de Privilegios

Si buscamos permisos desde la raiz encontramos a esta joyita que si lo ejecutamos nos dice Not an Admin.

Si lo ejecutamos nuevamente y hacemos un echo de admin nos dice que admin es false.

Si ahora exportamos admin a true osea que sea verdadero que es admin y volvemos ejecutar el binario observamos que ahora no somo www-data si no root.

Por ultimo vamos por nuestras dos banderas la de user.txt y root.txt y pues maquina resuleta.