TryHackme Blog

¡Billy Joel hizo un blog en Wordpress!

Bueno hoy vamos a resolver la maquina Blog de dificultad media.

Primeramente lo tipico ver puertos que estan abiertos usando Nmap.

# Nmap 7.94SVN scan initiated Wed Nov 15 19:00:05 2023 as: nmap -sCV -p22,80,139,445 -oN target.txt 10.10.238.78
Nmap scan report for blog.thm (10.10.238.78)
Host is up (0.062s latency).

PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 57:8a:da:90:ba:ed:3a:47:0c:05:a3:f7:a8:0a:8d:78 (RSA)
|   256 c2:64:ef:ab:b1:9a:1c:87:58:7c:4b:d5:0f:20:46:26 (ECDSA)
|_  256 5a:f2:62:92:11:8e:ad:8a:9b:23:82:2d:ad:53:bc:16 (ED25519)
80/tcp  open  http        Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Billy Joel's IT Blog – The IT blog
|_http-generator: WordPress 5.0
|_http-server-header: Apache/2.4.29 (Ubuntu)
| http-robots.txt: 1 disallowed entry 
|_/wp-admin/
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 4.7.6-Ubuntu (workgroup: WORKGROUP)
Service Info: Host: BLOG; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: 18m02s, deviation: 0s, median: 18m02s
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.7.6-Ubuntu)
|   Computer name: blog
|   NetBIOS computer name: BLOG\x00
|   Domain name: \x00
|   FQDN: blog
|_  System time: 2023-11-15T19:18:20+00:00
|_nbstat: NetBIOS name: BLOG, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb2-time: 
|   date: 2023-11-15T19:18:20
|_  start_date: N/A
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Nov 15 19:00:22 2023 -- 1 IP address (1 host up) scanned in 17.44 seconds

Ahora seguimos usando Nmap para sacar las versiones y servicios que corren para cada uno de los puertos abiertos.

Ahora tenemos que añadir la direcion IP a nuestro /etc/host ya que se esta haciendo un follow redirect, ahora ya con la IP en nuestro /etc/hosts nuestra maquina ya sabe a donde apuntar.

Si nos vamos a la web parece ser un template de wordpress, ademas lo intuyo porque en el escaneo para versiones y servicios me salia un directorio llamado /wp-admin/ que luego lo veremos

SMBMAP

Ahora haciendo uso de SMBMAP y crackmapexec y smbclient buscamos cosas y encontramos cosas en el puerto 445 pero nada de lo hay ahi sirve para nada asi que seguimos.

Si hacemos estenografia sobre los archivos que nos encontramos no encontramos casi nada.

Si hacemos uso de whatweb nos dice que estamos ante un wordpress de version 5.1.

WPSCAN

Si hacemos uso de la herramienta wpscan observamos que tenemos posibles usuarios del sitio.

Si vamos al directiro /wp-admin/ tenemos que dos de los usuarios son validos el usuario bjoel y kwheel. Ahora procedemos a hacer un ataque de fuerza bruta usando el mismo WPSCAN.

Con estos parametros le pasamos los usuarios validos y una lista de palabras con las cuales probar.

Pues despues de casi quince minutos encontro la contraseña para el usuario kwheel. Vamos a loguearnos al /wp-admin/.

Nos logueamos con las credenciales encontradas y estamos dentro, ahora solo falta ganar acceso a la maquina.

Si hacemos msf6 observamos que existe una vulnerabilidad para esta version haci que haremos uso de este.

Si hacemos un show options nos da los parametros a rellenar. proporcionamos el usuario la contraseña el RHOST de la maquina de tryhackme y el LHOST la IP local que nos da la VPN y listo.

• Si le damos a run observamos que ganamos acceso si hacemos un id somos www-data.

• Como punto dos vamos a neviarnos esta sesion a una shell de las que estoy acostumbrado ya que uso muy poco metasploit, en el punto dos se observa como me la envio.

• Como tercer lugar pues me pongo en escuha y tengo acceso nuevamente, ahora hacemos el tratamiento de la TTY y listo a buscar como escalar privilegios.

Si le hacemos un cat al config.php tenemos las credenciales de la base de datos que no nos serviran para nada pero aca las tienes.

Nos conectamos a la base de datos y nos vamos a la base de datos blog.

Si listamos las tablas tenemos las contraseñas en formato no legible para los dos usuarios que eran validos en el login del wordpress. Contraseñas que ya tenemos una.

Escalada de Privilegios

Si buscamos permisos desde la raiz encontramos a esta joyita que si lo ejecutamos nos dice Not an Admin.

Si lo ejecutamos nuevamente y hacemos un echo de admin nos dice que admin es false.

Si ahora exportamos admin a true osea que sea verdadero que es admin y volvemos ejecutar el binario observamos que ahora no somo www-data si no root.

Por ultimo vamos por nuestras dos banderas la de user.txt y root.txt y pues maquina resuleta.