Ollie
Esta sala implicará explotar un CVE de inyección SQL para obtener un shell inverso en el sistema de destino y luego explotar una configuración incorrecta del temporizador del sistema para escalar a la raíz. ¡Entremos en ello!
Created by 0day
Walkthrough
Enumeración
Empezamos a enumerar los puertos con la herramienta de nmap
Encontramos 3 puertos abiertos que son el 22, 80 y 1337
Una vez enumerado los puertos abiertos, el siguiente paso que vamos a realizar es enumerar los servicios y versiones que se encuentran en cada uno de los puertos abiertos de la maquina victima.
Puerto 80
Enumerando el servicio web encontraremos un panel de inicio de sesion, en la cual no hay mucho que hacer debido a que no contamos con credenciales validas.
Pasamos a enumerar directorios en el sitio web, en esta caso tu puedes usar la herramienta con la que te sientes mas comodo, yo usare ffuf
Encontramos algunos directorios de los cuales vamos a ver el contenido en el sitio web
Buscando en los directorios no encotraremos nada interesante para poder explotar la maquina victima.
En el panel de login vamos algo, que es un nombre y una version de un software
Explotación
Buscamos alguna vulnerabilidad con searchsploit y encontramos una vulnerabilidad.
Ahora vamos a traer el exploit a nuestro directorio con searchsploit -m php/webapps/50963.py
Ejecutando el exploit, encontramos en los parámetros que necesitamos unas credenciales
Puerto 1337
Enumerando el puerto 1337, nos conectamos con nc y vemos un servicio que ingresando unos datos nos otorga unas credenciales
Haciendo uso de las credenciales que nos proporciono, ejecutaremos el exploit.
Podemos ejecutar comandos con este exploit, que subió un evil.php. Esta vulnerabilidad hace uso de una inyección sql que se puede ver realizar ingresando las credenciales que encontramos en el panel de inicio de sesión.
Haciendo uso de curl lanzaremos nuestra revershell, hacer una petición con curl realizaremos un url encode a los espacios y caracteres especiales con el fin de no tener problemas al realizar la petición.
Podemos realizarlo de manera manual o haciendo uso de alguna herramienta en local o en online, en este caso yo hare uso de un sitio web que es urlencoder
Teniendo nuestra revershell, vamos a realizar el urlencode
Nos quedaría de la siguiente manera:
Antes de realizar la petición, debemos de ponernos a la escucha con ncat
Escalada de privilegios
Usuario : www-data
Enumerando no encontraremos mucho, pero antes recordamos que teníamos credenciales. Haciendo uso de las credenciales podemos escalar privilegios al usuario ollie
Usuario: ollie
Después de estar enumerando durante mucho tiempo, y casi rendirnos podremos encontrar un comando que se ejecuta cada 3 o 5 minutos. El codigo que use para enumerar los procesos que se ejecutan:
El comando que se ejecuta es /bin/bash /usr/feedme
Podemos ver que tenemos permisos de escritura, así que podemos modificarlo para poder escalar privilegios.
El contenido del fichero que ejecuta:
En caso nuestro cambiaremos los permisos de la /bin/bash a SUID para elevar nuestros privilegios con el comando /bin/bash -p
Luego de unos minutos veremos que /bin/bash es SUID
Usuario : root
Ejecutando el comendo bash -p podemos cambiar de usuario a root, por lo que podemos ejecutar comando de manera privilegiada.
¡VAMOS!
Happy hacking :)
Last updated