Vulnhub — Mr. Robot : Write UP
Maquina considerada por el autor como inicial/ intermedia y te deja una breve pistas sobre 3 llaves, a medida que enumere los servicios, directorios, encontré las llaves.
No desistas. Normalmente, es la última llave del llavero la que abre la puerta. “El manuscrito encontrado en Accra” (2012), Paulo Coelho
Como siempre, es necesario identificar la IP asignada por DHCP
Una vez identificada la IP, procedí a determinar que servicios estaban “UP” , puertos abiertos y toda información que permita modelar una estrategia para obtener acceso.
Puertos & Servicios
- 80/tcp — HTTP:Apache
- 443/tcp — HTTPS:Apache
Comencé por el 80, al ingresar por el navegador encontré un punto fabuloso de distracción.
Decidí dejar a un lado la shell interactiva que aparece en la web y me fui por enumerar los recursos o directorios web.
dirb http://192.168.32.146 -X txt,.php,.html /usr/share/wordlists/dirb/big.txt
Al parecer estaba frente a un wordpress, como siempre el archivo que no puede faltar el “robots.txt”
key-1-of-3.txt : 073403c8a58a1f80d943455fb30724b9
licence.txt : ZwxsaW90kVSMjgtMDY1Mgo=echo "ZwxsaW90kVSMjgtMDY1Mgo=" | base64 -d
elliot:ER28-0652
En esta llave encontré un texto en base64, se hizo un decode, obteniendo usuario y pass , con ese usuario y pass iniciamos sesión en wordpress como “administrador” hasta aquí todo bien, bueno solo fue necesario incluir codigo para generar una reverse shell.
En la maquina local levante nc y listo acceso, low, pero acceso al final.
Una vez adentro, como siempre a enumerar y enumerar todo lo que se pueda para buscar las llaves, encontré la segunda llave pero no tenia acceso,si encontré un archivo con un password en md5.
Reverso al resultado de md5
Cambie a al nuevo usuario identificado utilizando la contraseña “abcdef…..”
Con este usuario ya pude acceder al contenido de la segunda llave.
Con este usuario en el proceso de enumeración identifique servicios que corrian de forma local y acceso local a los servicios ftp y mysql
Chusmeado por el equipo, en el archivo wp-config.php encontramos los datos necesarios para acceder a los servicios publicados de forma local
cat wp-confi.php
Siempre comienzo enumerado binarios con permisos especiales, en este caso no fue la excepción, encontré un antiguo y querido nmap
al ejecutar nmap, se pudo bservar que tenia la opcion — interactive.
Todos lo métodos para escalar privilegios a traves de binarios con permisos mal asignados, se encuentran en la siguiente dirección:
Ejecutamos nmap con una shell interactiva y al ejecutar !sh eleve privilegios gracias a nmap ;)
Se accedio a la carpeta y de root y al final de la luz, se encontró la ultima llave.
y Listo, acabamos con esta maquina.
Saludos
