Write-up: Máquina Load (Vulnyx)
Comenzamos con averiguar la dirección IP de la Máquina Victima, para ello primeramente utilizaremos la herramienta netdiscover, para ello ejecutamos el siguiente comando:
$ netdiscover -i eth1 -r 10.0.2.0/24
- Kali (Máquina Atacante): 10.0.2.4
- Máquina Victima: 10.0.2.61
Comprobamos si tenemos conexión con la Máquina Victima, para ello ejecutamos el siguiente comando:
$ ping -c 1 10.0.2.61
Como se puede comprobar por el TTL nos enfrentamos a una Máquina Linux.
A continuación, realizamos con la herramienta nmap un reconocimiento de los servicios, para ello ejecutamos el siguiente comando:
$ nmap -Pn -p- 10.0.2.61 -sVC
Como podemos comprobar la Máquina Victima tiene abiertos los puertos 22 y 80.
Comprobamos que es lo que corre por el puerto 80.
En el escaneo de los servicios con la herramienta nmap encontramos el fichero robots.txt, Este fichero se incluye en la raíz de cada dominio para evitar que los motores de búsqueda indexen contenido de las rutas indicadas, encontramos el directorio ritedev.
Accedemos a el.
Nos encontramos RiteCMS en la version 3.0.
A continuación, realizamos con la herramienta gobuster un fuzzing web por extensiones, para ello ejecutamos el siguiente comando:
$ gobuster dir -u http://10.0.2.61/ritedev -w /usr/share/seclists/Discovery/Web-Content/Director-list-2.3-big.txt -x html,php,js,txt
Encontramos el archivo admin.php.
Accedemos a el.
Nos encontramos un panel de login de RiteCMS.
Probamos a acceder con las credenciales admin:admin.
Estamos dentro.
Hacemos una busqueda en internet para ver si encontramos algun exploit para esta versión.
Encontramos este exploit y seguimos las instrucciones del 1º metodo.
Nos dirigimos a Admin/Files Manager y eliminamos el archivo .htaccess en el directorio de media y files.
Nos creamos una webshell en .php, para ello ejecutamos el siguiente comando:
$ nano rev.php
La subimos, y accedemos a ella de la siguiente manera:
A continuación, en nuestra terminal de nuestra Máquina Atacante y con la ayuda de la herramienta de netcat(nc) nos ponemos a la escucha por el puerto 443 por donde vamos a recibir la conexión, para ello ejecutamos el siguiente comando.
$ nc -lvnp 443
Ejecutamos la siguiente reverse shell de la siguiente manera:
Y obtenemos una shell como www-data.
A continuación, hacemos un tratamiento de la TTY para obtener una shell interactiva y así evitar problemas, para ello ejecutamos los siguientes comandos.
$ script /dev/null -c bash
Ctrl + Z
$ stty raw -echo;fg
$ reset xterm
$ export TERM=xterm
Enumeramos los permisos sudo, para ello ejecutamos el siguiente comando:
$ sudo -l
Nos encontramos con el binario crash que lo podemos ejecutar como el usuario travis. por lo tanto nos vamos a la pagina gtfobins a mirar el payload.
Lo ejecutamos de la siguiente manera:
$ sudo -u travis /usr/bin/crash -h
!/bin/bash
¡¡¡Somos travis!!!
Enumeramos de nuevo los permisos sudo, para ello ejecutamos el siguiente comando:
$ sudo -l
Nos encontramos con el binario xauth que lo podemos ejecutar como el usuario root, en la ayuda de este binario encuentro que con el parámetro source me permite leer archivos, por lo tanto, intentamos leer la clave privada id_rsa del usuario root, para ello ejecutamos el siguiente comando:
$ sudo -u root /usr/bin/xauth
Conseguimos leer la clave privada id_rsa para acceder a la Máquina Victima vía ssh, nos la copiamos en un archivo, para ello ejecutamos el siguiente comando:
$ nano id_rsa
Utilizamos el fichero id_rsa para conectarnos via ssh a la Máquina victima, para ello ejecutamos los siguientes comandos:
$ chmod 600 id_rsa
$ ssh -i id_rsa root@10.0.2.61
¡¡¡Ya somos root!!!
Ya podemos leer las flags de user y root.