Vamos con otra máquina de VulnHub, en este caso y0usef, que supuestamente es fácil, aunque ya sabemos que aquí nada es fácil, todo es cuestión de dar con la tecla justa que te abre un puerto, subir una reversa a tiempo, etc. Bueno, que no me enrollo, vamos a por la máquina.
Iniciamos como siempre la fase de descubrimiento.
Ese OpenSSH tiene por ahí un exploit, pero quiero recordar que se necesita login para poder ejecutar comandos. Y lo mismo con el Apache 2.4.10, pero vamos a probar otras cosas antes de tirar un exploit a lo loco, que pierde la gracia.
Bueno, la web que carga no me vale para absolutamente nada, así que, vamos con el GoBuster que le he cogido el gusto xD.
Después de probar con un par de diccionarios típicos y de no sacar nada, voy con uno más gordo a ver...
Pues me saca un 301 en /administration, pero tampoco me vale de mucho. Al final me voy a arrepentir de no probar el exploit, verás jaja.
Lo que me mosquea mucho es que un código 301 (redirección) me devuelva un forbidden, que es más de un 403... No sé, aquí hay algo, pero no caigo ahora mismo...
Vale, pues me ha costado un rato de buscar apuntes y cosas en mis carpetas de "Diógenes" xD. Con la cabecera X-Forwarded-For se le puede indicar "otra dirección de origen", es decir, que crea que (en este caso) es desde localhost.
Ahora obtenemos un 200 OK, y si pasamos la petición desde burp al navegador, nos encontramos con un bonito panel de login.
Bueno, como estamos en una máquina que es "fácil", voy a probar los 3 o 4 login típicos por si suena la flauta.
Pues efectivamente, era fácil y además, a la primera con admin:admin.
Estupendo, en la parte de upload se puede subir un fichero. ¿Estará permitido subir cualquier extensión? Vamos a comprobarlo.
Pues no, esta vez no iba a ser tan fácil xD.
Bueno, tenemos para probar el típico bypass usado en estos casos. Copiamos la shell y la renombramos como shell.php.png (png suele estar habilitado, otros pueden ser, jpg, pdf, etc, dependiendo de las restricciones, en este caso como no pone nada, toca probar), y volvemos a parar la petición en burp. Esta vez, además de añadir la cabecera X-Forwarded-For, hay que eliminar la falsa extensión .png de la shell, quedando así:
Y si miramos la consola del netcat, ya tenemos el acceso. Ahora como de costumbre nos hacemos la shell interactiva.
Y ahora sacamos la primera flag.
Como tiene git, voy a clonarme LinEnum y mientras termina reviso algunas cosas del SO.
Miro en local (en la Kali) con searchploit por el número de la versión del kernel.
Vamos a probar a ver si con ese sacamos oro xD. Lo descargamos y levantamos apache en la Kali.
Lo siguiente es pasarlo a la máquina que estamos atacando, para ello con wget lo hacemos sin problema.
Aprovechando que también tiene gcc, lo hacemos en la propia máquina, si no, lo podríamos haber hecho en la Kali.
Y ya por último, lo ejecutamos, comprobamos que somos root, y leemos el último flag.
Pues quitando la parte del X-Forwarded-For que me costó algo más dar con ello, el resto no ha sido demasiado difícil.
Nos vemos en la siguiente.
0 comentarios:
Publicar un comentario