Sarxixas (LINUX)

Comenzamos con un escaneo de nmap, el cual nos enseña los puertos 22 (ssh) y 80 (http) abiertos, tambien podemos ver un directorio llamado "/docs", dentro de en no se encuentra nada especialmente relevante.

sudo nmap -sVC -vvv -open -Pn 192.168.8.109

Dentro de la pagina lo unico relevante que encontramos es el "login.php", el cual adentro del nos indica la version de pluck. Buscando un poco encuentro un vulnerabilidad en exploitdb de esta versión, quizas podemos hacer uso del dicho exploit posteriormente.

Antes de seguir, añadiremos a "/etc/hosts" la IP de nuestra maquina victima y el dominio "sarxixas.thl" (Cabe recalcar que el dominio debe ser explicitamente "sarxixas.thl", si solo pones "sarxixas" no te cargara la pagina)

Ahora vamos a fuzzear en busqueda de subdominios, lo intento hacer con ffuf y obtengo un solo subdominio, "api".:

ffuf -c -ic -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u "http://sarxixas.thl" -H "HOST: FUZZ.sarxixas.thl" -mc 200

Descargamos el directorio "HostiaPilotes.zip" y lo intentamos abrir pero tiene contraseña, así que vamos a usar zip2john para obtener el hash:

zip2john HostiaPilotes.zip > hash.txt

Ahora vamos a buscar la contraseña de este zip haciendo uso de hash obtenido, y la contraseña es babybaby,

john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

Ahora abrimos el archivo y sacamos la .txt con la contraseña, la cual es "ElAbueloDeLaAnitta"

Ahora vamos a eliminar de "/etc/hosts" el ".api" porque sino (al menos en mi caso), no os funcionara, y entramos al panel de admin con los credenciales obtenidos. Buscando en exploitdb encuentro un exploit , nos creamos el .py en nuestra maquina y le damos permisos chmod +x, lo ejecutamos especificando IP, Puerto, Contraseña y Path

Voy a mandar una revershell a mi maquina atacante, vamos a revshells y nos creamos nuestra revershell de tipo "nc mkfifo":

Corremos la linea de código y nos llega a nuestra maquina atacante, ahora tenemos que depurar la tty para poder hacer uso de la terminal al 100%

script /dev/null -c bash
*PRESIONAR CTRL+Z*
stty raw -echo;fg
reset xterm

Si navegamos un poco, en la ruta "/opt" podemos encontrar un .zip del cual podriamos extraer información, asi que nos creamos un servidor de python para poder descargar el .zip en nuestra maquina victima:

python3 -m http.server

Ahora tendremos que descargar del servidor el .zip, esto lo hacemos con un wget

wget IP:8000/nombreDe.zip

Al igual que con el .zip que previamente habiamos conseguido abrir, este tambien tiene un .txt en su interior, claro que protegido por una contraseña la cual vamos a conseguir con el mismo metodo usado anteriormente:

#Primero extraemos el hash del dicho .zip
zip2john .zip > hash

#Hacemos uso de john para dar con la password
john --wordlist=/usr/share/wordlist/rockyou.txt hash

Intento iniciar sesion en el usuario sarxixa pero no funciona, probablemente la contraseña este cifrada, voy a usar esta pagina web para detectar en que esta codificado, lo descodificamos y vemos la contraseña, al .zip le falta la primera letra, asi que le quitamos la primera letra a la contraseña decodificada.

Inciamos sesion en el usr sarxixa

Vemos que somos docker, vamos a GTFOBins a buscar el binario de docker y damos con el:

Lo corremos y obetenemos root