Vulnhub-VULNCMS:1 Walkthrough

 

Descripción:

Máquina de nivel fácil, el objetivo de esta máquina es realizar enumeración y encontrar la versión del CMS y obtener acceso a la máquina y encontrar la badera root (flag root). 

Comencemos por el descubrimiento de la dirección IP de la máquina víctima. Para encontrar la dirección IP utilizaremos la herramienta nmap.

La opción -sn de nmap la utilizamos para realizar un escaneo de tipo ping a todos los host que se encuentran en el segmento de red 192.168.50.0-255 notación 192.168.50.0/24.

El resultado del escaneo que nos interesa es vuln_cms con dirección IP 192.168.50.155.

Ahora escanearemos los servicios que se encuentran ejecutando en la máquina vuln_cms.

Utilizamos las siguientes opciones de nmap:

-sV         = Es un tipo de escaneo para obtener información de servicios y versiones.

-p-          = Esta opción le indica a nmap que escanee todos los puertos 0-65565.

--open    = Esta opción le indica a nmap que solo escanee los puertos abiertos. 

Como resultado del escaneo obtenemos 5 puertos abiertos.

Puerto 22 que está ejecutando la aplicación SSH, OpenSSH version 7.6p1.

Puerto 80, 5000, 8081, 9001 que están ejecutando el servido nginx.

ahora toca averiguar qué es lo que se está ejecutando en esos servicios web. Para obtener esta información utilizaremos la herramienta whatweb.

    

Puerto 80: Está ejecutando un W3.CSS Template.

Puerto 5000: Está ejecutando un CMS WordPress versión 5.7.2.

Puerto 8081: Está ejecutando un CMS Joomla.

Puerto 9001: Está ejecutando un CMS Drupal versión 7.

Una vez terminada la enumeración de los servicios y versiones que se están ejecutando en el servidor. Pasamos a la segunda fase el análisis de vulnerabilidades de los servicios enumerados.

En resumen, tenemos la siguiente información:

IP máquina objetivo            = 192.168.50.155

Puertos Abiertos:

22         SSH     OpenSSH version 7.6p1

80         Html     Ejecuta W3.CSS template

5000     Html     Ejecuta WordPress versión 5.7.2

8081     Html     Ejecuta Joomla 

9001     Html     Ejecuta Drupal versión 7.

Analicemos con la herramienta wpscan si hay alguna vulnerabilidad en la versión de WordPress que se está ejecutando en el servidor.  

Al analizar los resultados de escaneo lo que más llamo mi atención es que la versión WordPress 5.7.2 está identificado como inseguro.

Ahora analizaremos ahora la aplicación Joomla que se está ejecutando en el servidor, con la herramienta joomscan.

Como se puede ver en la imagen el escáner encontró varias vulnerables en la versión de Joomla en ejecución. 

Me llamo la atención que al realizar la instalación de Joomla no se eliminó el directorio "/Installation/". Por lo general, este archivo se elimina al terminar la instalación.

Por último, nos toca analizar CMS Drupal que se está ejecutando en la máquina. Utilizaremos   la herramienta drupwn.

     

Como se observa en la imagen la aplicación Drupal es vulnerable a la ejecución de comando remoto.

Nota

Cuando analizamos las vulnerabilidades de un servidor con las diferentes herramientas que podemos ocupar para descubrirlas,no siempre estas son explotables, esto se debe a que las herramientas de escaneo pueden emitir falsos positivos o también falsos negativos.

Ahora pasaremos a la tercera parte la explotación de las vulnerabilidades. En resumen, tenemos dos aplicaciones vulnerables Joomla ejecutada en puerto 8081 y Drupal ejecutada en el puerto 9001. Comenzare por la aplicación Drupal y explotaré la vulnerabilidad con cve-2018-7600. Para realizar esta tarea utilizaré la herramienta Metasploit.

Iniciamos Metasploit.

Una vez iniciada la aplicación buscaremos el exploit con el comando search:

Luego, con el comando use de Metasploit seleccionamos el exploit.

Una vez seleccionado el exploit debemos configurarlo, para saber que opciones necesita el exploit para explotar la vulnerabilidad utilizamos la opción show options.

Aquí las opciones de configuración que nos interesa son los parámetros RHOSTS y RPORT.

Una vez configuradas las opciones utilizamos el comando exploit de Metasploit.

Bien!!, la vulnerabilidad era explotable y obtuvimos acceso al servidor. Ahora debemos revisar los directorios y buscar información interesante.

Aquí lo que haré será listar los archivos de forma recursiva, esto es útil para encontrar algún archivos interesante.

Después de analizar los archivos encontré un archivo interesante, en la siguiente ruta.

Bien!!! encontramos algo interesante un usuario y contraseña.

Recuerden que en el servidor está el servicio SSH ejecutándose, comprobemos si podemos conectar los al servidor por SSH.

Podemos ingresar al servidor mediante SSH. Veamos que permiso puede ejecutar el usuario.

Como se muestra en la imagen el usuario tyrell puede ejecutar el archivo journalctl como root. Cuando ejecutamos el archivo journalctl Linux no muestra con el paginador less, el paginador less nos permite ejecutar comandos de shell con el operador !.

Con lo anterior, podemos elevar privilegios a root con los siguientes pasos.

Ejecutando este comando estamos ejecutando el archivo como usuario root. Recuerden que el usuario tyrell puede ejecutar el archivo journalctl como root.

Aquí ingresamos la siguiente instrucción y presionamos enter/intro.

Ya somo usuario root.

Luego nos cambiamos al directorio /root y encontramos el siguiente archivo.

Encontramos nuestro root flag.

Happy Hack!!!