Escolares
Última actualización
Última actualización
Comprobamos que sí tenemos conectividad con la máquina y que el TTL es 64 por lo que hablamos de una máquina Linux.
Utilizamos la herramienta nmap y vemos los puertos abiertos.
22 -> SSH
80 -> HTTP
También vemos que si le hacemos fuzzing a la ruta http://ip/wordpress/ nos enumera esto:
Entramos en trackback.php y sale esto:
En el fuzzing web descubro que hay un dominio ya que veo la ruta absoluta y veo que http://escolares.dl/, por lo que lo añado al fichero /etc/hosts
Si busco xmlrpc.php sale lo siguiente:
Inspecciono la página y veo que hay un comentario en donde hace referencia a una ruta, por lo que decido ir.
Veo que luis es el admin, debajo en el correo pone luisillo por lo que puede que sea el usuario. Intento con wpscan.
wpscan --url http://escolares.dl/wordpress -U luisillo --passwords luis.txt.
Encontramos la clave de luisillo. Y entramos
Veo que hay un plugin llamado File Manager, por lo que podemos investigar ahí, y vemos que podemos subir archivos.
Antes de nada, la editamos y ponemos nuestra ip de atacante y el puerto que vayamos a utilizar.
Nos ponemos en escucha.
nc -nlvp 443
Y buscamos la reverse shell en el navegador. Si se queda cargando, es buena señal.
Y conseguimos una shell. Hacemos el tratamiento de la TTY como aparece en pantalla.
Vemos el /etc/passwd.
Nos metemos en el home y encontramos un fichero llamado secret.txt en el parece ser la clave de luisillo.
Entramos como luisillo y vemos que podemos ejecutar como cualquier usuario el binario awk.
Lo ejecutamos en la máquina pero de esta manera para que no haya ningún error.
Ya somos root!!
Tendremos que crear con la herramienta un diccionario, y pondremos los datos que salen. Una vez generado, lo ponemos en el wpscan.
Subimos una reverse shell en php ->
Buscamos en la herramienta .