Publicado el 14/04/2023 12:04:00 en Hacking Web.
Author: M20191 | Total de votos: 3   Vote

En este post los guiaré en mi resolución de la máquina ColddBox de TryHackMe | Link de la máquina

Resumen de la resolución

Web:
- Wordpress user identification
- Password brute force
- 404 ReverseShell Template
Sistema:
- SUID Find missconfiguration

Herramientas utilizadas

- nmap
- whatweb
- wfuzz
- wpscan
- netcat

Reconocimiento - Enumeración

Identificamos OS:


TTL <= 64 Linux | TTL > 64 Windows.

Puertos abiertos:

- 80/TCP HTTP (Apache httpd 2.4.18)
- 4512/TCP SSH (OpenSSH 7.2p2)


Captura nmap | escaneo de reconocimiento.

Información de puertos:

Captura nmap | escaneo exhaustivo.

Whatweb:

Reconocimiento mediante whatweb (wappalyzer de consola).

Fuzzing:

Captura de reporte wfuzz.

Si en esas rutas no encontraste nada interesante procedemos a lo profundo.

WpScan:

Escaneo sencillo | no nos reporta mucha informacion

Enumeramos usuarios:

Usuarios obtenidos:

- c0ldd
- hugo
- philip

No tenemos escapatoria, intentamos de todo, aaah no!
¡Hagamos un ataque de diccionario con los usuarios encontrados!



ataque de diccionario mediante wpscan | lo hará en la ruta /wp-admin/

Recomiendo en este paso 5-10 minutos por usuario. Si no va en ese tiempo poner otro en el archivo y seguir.


c0ldd era el usuario

Explotación

Adentro del panel admin, podemos modificar en Appearance >> Editor el 404.php


ReverseShell desde archivo 404.php

Cargamos una ReverseShell a nuestra IP. Yo uso normalmente la que está en /usr/share/webshells/php/php-reverse-shell.php que es el de pentestmonkey.

Escalada de privilegios

Adentro del sistema hacemos reconocimiento de permisos.
Gracias a GTFObins podemos encontrar una carga útil para vulnerar find.


Ejecutamos carga útil.

¡Somos Root!

Existen otras formas de vulnerar ColddBox, te invito que las descubras por ti mismo.