RODGAR
  • Whoami
  • HackTheBox
    • Hard
      • ⛔HackTheBox Vintage
    • Medium
      • HackTheBox Cascade
      • HackTheBox TombWatcher
      • Copy of HackTheBox TombWatcher
      • HackTheBox Monteverde
      • HackTheBox Resolute
      • HackTheBox Administrator
      • HackTheBox Escape
      • HackTheBox Authority
    • Easy
      • HackTheBox Active
      • HackTheBox Sauna
      • HackTheBox Support
      • HackTheBox Forest
      • HackTheBox Cicada
      • HackTheBox Timelapse
      • HackTheBox Return
  • CTF WRITEUP's
    • TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • VulnHub
      • Inferno
      • Election
      • SYMFONOS 3
      • SYMFONOS 2
      • DJinn-3
      • Durian 1
      • DarkHole 2
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • Hackmyvm
      • Hackmyvm UP
    • Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
  • Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • Shared Files
    • Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • Share Linux
      • Compartir de linux en [PHP]
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • Group 1
    • Recursos
Con tecnología de GitBook
En esta página
  1. CTF WRITEUP's
  2. VulnHub

OffSec Sick0s

AnteriorOffSec KatanaSiguienteThe Hackers Labs

Última actualización hace 1 año

Ahora hacemos un reconocimiento con nmap para detectar que puertos estan abiertos en el host

# Nmap 7.94SVN scan initiated Wed Dec 27 18:20:39 2023 as: nmap -sCV -p22,3128 -oN target.txt 192.168.1.137
Nmap scan report for 192.168.1.137
Host is up (0.0018s latency).

PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 09:3d:29:a0:da:48:14:c1:65:14:1e:6a:6c:37:04:09 (DSA)
|   2048 84:63:e9:a8:8e:99:33:48:db:f6:d5:81:ab:f2:08:ec (RSA)
|_  256 51:f6:eb:09:f6:b3:e6:91:ae:36:37:0c:c8:ee:34:27 (ECDSA)
3128/tcp open  http-proxy Squid http proxy 3.1.19
|_http-title: ERROR: The requested URL could not be retrieved
| http-open-proxy: Potentially OPEN proxy.
|_Methods supported: GET HEAD
|_http-server-header: squid/3.1.19
MAC Address: 08:00:27:AE:CE:2C (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Dec 27 18:20:56 2023 -- 1 IP address (1 host up) scanned in 16.91 seconds

Tenemos dos puertos un ssh y un Squid Proxy.

Si le lanzamos un curl al Squid proxy en el puerto 3128 observamos que nos responde pero si vamos a la web no nos lo carga.

Tenemos que añadir un nuevo proxy a nuestro foxy proxy para ver el contenido de la web. Añadimos IP y puerto donde corre.

Con el proxy seteado observamos que ahora si nos carga la pagina web.

Hacemos algo de fuzzing usando gobuster pero recuerde que debe siempre pasar por el proxy si no no le respondera la web.

Encontramos tres directorios, vamos a verlos.

En robots.txt nos da la pista de lo que parece ser un gestor de contenido.

Y efectivamente tenemos un gestor de contenido, vamos a ver que podemos hacer, el gestor se llama wolf. Vamos a buscar vulnerabilidades.

Usando searchsploit encontre esto que bajo la ruta /?/admin osea estando logueado podemos subir un archivo sea cual sea, pero obviamente nosostros le vamos a colar un .php.

Y buenos nos vamos a la ruta que nos dicen en le poc y tenemos un panel de login, donde el usuario y contraseña es admin y admin.

Siempre pruebo contraseñas por defecto si nada funciona fuerza bruta en este caso estas son validas.

Ya dentro nos vamos a la ruta donde nos dice el poc.

Este shell la puedes encontrar en ponki pentester o en github, cambiamos nuestra IP y seteamos el puerto por donde escucharemos.

Subimos el archivo y ahora solo es buscar donde se almacena la ruta a donde va despues de estar subido.

El CMS tenia expuesto el directorio public donde se subio nuestro archivo malicioso y como observamos a la derecha hemos ganado acceso al sistema.

Nos vamos al directorio donde normalmente se almacena contenido para exponer la web y bueno encontramos supuestas credenciales de root pero eh mentira.

Son las credenciales del ssh del usuario sickos.

Cuando haciamos fuzzing en la imagen seis, habia un directorio connect que si lo buscas te descargas un script en python que este scritp esta aca en la ruta /var/www/html la tipica y tenemos permiso de escritura y ejecucion.

Tonces asi que lo alteramos de esta manera para convertirnos en root.

Ejecutamos el script y nos ponemos en escucha con otro terminal y listo somos root