1. Fase de Enumeración y Reconocimiento
Utilizaré la herramienta Netdiscover para escanear la red en busca de la máquina objetivo.
Nmap descubrió 4 servicios en la máquina objetivo SSH, HTTP, MYSQL, Blackice-icecap. Ahora lo que intentare será descubrir las versiones de los servicios que se están ejecutando. Utilizaré la herramienta Nmap.
Bien ya tenemos los servicios y sus versiones. ahora empezaré analizar los diferentes servicios en búsqueda de más información.
Utilizando la herramienta dirsearch intentaré de descubrir directorios en los servicios web tanto en nginx puerto 80 y apache puerto 8081.
 |
| Análisis de directorios en apache puerto 80 |
 |
| Análisis de directorios en nginx puerto 8081 |
Al parecer en el servicio nginx puerto 8081 está ejecutando un Wordpress. Confirmaremos la información con la herramienta whatweb.
Wordpress está instalado.
Al visitar url http://192.168.50.61:8081/wp-admin/, hay un redireccionamiento al dominio http://wp.looz.com/
Como se puede observar en la imagen el redireccionamiento al dominio wp.looz.com se ejecuta a través de una conexión SSL/TLS.
Debo entender que está configurado un VirtualHost en la máquina objetivo y el certificado es un certificado auto firmado.
En la siguiente url se encontró un comentario donde se indica un usuario y contraseña.
Por último, configurare en el archivo /etc/hosts el dominio wp.looz.com para poder enrutar el sitio web.
2. Fase de Análisis de Vulnerabilidades.
Con la información obtenida utilizaré la el escáner wpscan para escanear el sitio web.
Hasta ahora tenemos la siguiente información:
- 6 nombres de usuarios.
- Tenemos un usuario y una contraseña john:y0uC@n'tbr3akIT
- La herramienta wpscan encontró algunas posibles vulnerabilidades de la versión WordPress instaladas.
- Tenemos los siguientes servicios en ejecución de la máquina objetivo: Puerto 22 SSH, Puerto 80 http nginx, Puerto 8081 http apache.
3. Fase de explotación Vulnerabilidades.
Ahora con el nombre de usuario john y la contraseña y0uC@n'tbr3akIT intentaré hacer login en el panel de administración WordPress.
Tenemos dos usuarios administradores gandalf y john. Ahora con la herramienta Hydra y el diccionario rockyou.txt realizaré un ataque de fuerza bruta contra el SSH.
Encontramos una contraseña para el usuario gandalf su contraseña es highschoolmusical. Ahora realizaré una conexión SSH con el usuario gandalf.
Ahora cambiaré al directorio /home del usuario gandalf y listaré los archivos de manera recursiva con el comando ls -R de Linux.
Encontré dos archivos interesantes el primero es user.txt y el segundo es shell_testv1.0.
Encontramos la bandera (flag) del usuario gandalf en el archivo user.txt. Revisaré el archivo shell_testv1.0.
Es un archivo ELF. El archivo ELF (Extensible Linkable Format) es un archivo de formato estándar común para archivos ejecutables, de código abierto. Desarrollado por Unix System Laboratiores.
Por último, reviso los permisos de sudo para el usuario gandalf. El usuario no tiene permiso de root.
Ahora haré una búsqueda de los archivos regulares que tenga el bit SUID activado.
El shell_testv1.0 es una binario que tiene acceso ejecutable para todos los usuarios. ejecutaré el archivo para ver que sucede.
De esta manera obtuvimos acceso a root y encontramos la segunda bandera root (flag root).
Happy Hack!!!
Comentarios
Publicar un comentario