# OffSec Sick0s

<figure><img src="/files/AmQBmQ9O2IW7vqgR3rvp" alt=""><figcaption></figcaption></figure>

Ahora hacemos un reconocimiento con nmap para detectar que puertos estan abiertos en el host

```javascript
# Nmap 7.94SVN scan initiated Wed Dec 27 18:20:39 2023 as: nmap -sCV -p22,3128 -oN target.txt 192.168.1.137
Nmap scan report for 192.168.1.137
Host is up (0.0018s latency).

PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 09:3d:29:a0:da:48:14:c1:65:14:1e:6a:6c:37:04:09 (DSA)
|   2048 84:63:e9:a8:8e:99:33:48:db:f6:d5:81:ab:f2:08:ec (RSA)
|_  256 51:f6:eb:09:f6:b3:e6:91:ae:36:37:0c:c8:ee:34:27 (ECDSA)
3128/tcp open  http-proxy Squid http proxy 3.1.19
|_http-title: ERROR: The requested URL could not be retrieved
| http-open-proxy: Potentially OPEN proxy.
|_Methods supported: GET HEAD
|_http-server-header: squid/3.1.19
MAC Address: 08:00:27:AE:CE:2C (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Dec 27 18:20:56 2023 -- 1 IP address (1 host up) scanned in 16.91 seconds

```

Tenemos dos puertos un ssh y un Squid Proxy.

<figure><img src="/files/1iJ1N2XKByWmqgLIEx48" alt=""><figcaption></figcaption></figure>

Si le lanzamos un curl al Squid proxy en el puerto 3128 observamos que nos responde pero si vamos a la web no nos lo carga.

<figure><img src="/files/IzVy2KcRGmkCj4x5gJDq" alt=""><figcaption></figcaption></figure>

Tenemos que añadir un nuevo proxy a nuestro foxy proxy para ver el contenido de la web. Añadimos IP y puerto donde corre.

<figure><img src="/files/CvK0UGghuVYrcyyqYm3D" alt=""><figcaption></figcaption></figure>

Con el proxy seteado observamos que ahora si nos carga la pagina web.

<figure><img src="/files/5NsFEfcQKhfpkmkXqhUL" alt=""><figcaption></figcaption></figure>

Hacemos algo de fuzzing usando gobuster pero recuerde que debe siempre pasar por el proxy si no no le respondera la web.

Encontramos tres directorios, vamos a verlos.

<figure><img src="/files/4ZlCH5BC7ZerFrVLytnV" alt=""><figcaption></figcaption></figure>

En robots.txt nos da la pista de lo que parece ser un gestor de contenido.

<figure><img src="/files/Em3c6W8Np9kVLX9qAMzf" alt=""><figcaption></figcaption></figure>

Y efectivamente tenemos un gestor de contenido, vamos a ver que podemos hacer, el gestor se llama wolf. Vamos a buscar vulnerabilidades.

<figure><img src="/files/TtiiDBv1RDJ5RC2bEc9o" alt=""><figcaption></figcaption></figure>

Usando searchsploit encontre esto que bajo la ruta /?/admin osea estando logueado podemos subir un archivo sea cual sea, pero obviamente nosostros le vamos a colar un .php.

<figure><img src="/files/6yDVg2zei0kSDC1Bl490" alt=""><figcaption></figcaption></figure>

Y buenos nos vamos a la ruta que nos dicen en le poc y tenemos un panel de login, donde el usuario y contraseña es admin y admin.&#x20;

Siempre pruebo contraseñas por defecto si nada funciona fuerza bruta en este caso estas son validas.

<figure><img src="/files/jXShOumHpWYg0YdOTvcp" alt=""><figcaption></figcaption></figure>

Ya dentro nos vamos a la ruta donde nos dice el poc.

<figure><img src="/files/zUmFv4xeN7Tj3IqClLKZ" alt=""><figcaption></figcaption></figure>

Este shell la puedes encontrar en ponki pentester o en github, cambiamos nuestra IP y seteamos el puerto por donde escucharemos.

<figure><img src="/files/HiE5v6AWW9xsSTauuqYm" alt=""><figcaption></figcaption></figure>

Subimos el archivo y ahora solo es buscar donde se almacena la ruta a donde va despues de estar subido.

<figure><img src="/files/o3gQP8Aex4yWC9ONv2Jx" alt=""><figcaption></figcaption></figure>

El CMS tenia expuesto el directorio public donde se subio nuestro archivo malicioso y como observamos a la derecha hemos ganado acceso al sistema.

<figure><img src="/files/ZTKr9VF8CwTdztWM8e5m" alt=""><figcaption></figcaption></figure>

Nos vamos al directorio donde normalmente se almacena contenido para exponer la web y bueno encontramos supuestas credenciales de root pero eh mentira.

<figure><img src="/files/m8yoYuYWpH9LpJv6ETVR" alt=""><figcaption></figcaption></figure>

Son las credenciales del ssh del usuario sickos.

<figure><img src="/files/3jNMaoE0ntszjlB0hMfb" alt=""><figcaption></figcaption></figure>

Cuando haciamos fuzzing en la imagen seis, habia un directorio connect que si lo buscas te descargas un script en python que este scritp esta aca en la ruta /var/www/html la tipica y tenemos permiso de escritura y ejecucion.

Tonces asi que lo alteramos de esta manera para convertirnos en root.

<figure><img src="/files/AcRCVwrim6OWAkmV4pz3" alt=""><figcaption></figcaption></figure>

Ejecutamos el script y nos ponemos en escucha con otro terminal y listo somos root


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://rodgar.gitbook.io/rodgar/plataformas/vulnhub/offsec-sick0s.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.