Last updated
Last updated
Comenzamos haciendo la enumeración de los servicios que tiene abiertos la máquina BTRSys2.1.
Existen tres servicios abiertos en la máquina víctima, puertos 21, 22 y 80. El siguiente paso será la enumeración detenida de estos tres servicios.
El servicio FTP ejecutado en esta máquina permite el login anonymous. Veamos si podemos encontrar información interesante.
Podemos acceder al servidor FTP pero no tenemos acceso a nada interesante.
Otro servicio que se está ejecutando en la máquina es un servicio Web en el puerto 80. Vamos a enumerar su contenido.
Vamos a enumerar directorios y archivos interesantes.
Dos directorios interesantes, además del archivo robots.txt.
Está permitido el acceso al directorio /wordpress. Veamos su contenido.
Sabiendo esto, ejecutamos wp-scan para enumerar infomración interesante de este CMS.
Obtenemos las posibles credenciales del usuario admin para el Panel de Control del CMS. Vamos a comprobar que son correctas.
Accedemos al Panel de Control del CMS.
Wordpress está basado en PHP para programar sus archivos. Vamos a tratar de modificar uno de estos archivos que forman los Temas de WP, para tratar de subir una reverse Shell escrita en PHP. Ahora nos dirigimos a "Appearance > Editor" y seleccionamos el archivo index.php.
Configuramos nuestra reverse shell
Actualizamos el archivo index.php con el nuevo contenido.
Ya tenemos acceso a la máquina víctima. También, hemos interactiva la tty.
Localizamos la flag local.txt en el directorio "/home/btrisk"
Como estamos ante un sistema donde se está ejecutando un CMS WordPress, vamos a enumerar los archivos del directorio /var/www/html/wordpress.
Un archivo interesante es "wp-config.php".
Dentro de este directorio, obtenemos un posible nombre de usuario y password para la base de datos. Recordamos que en la enumeración inicial de NMAP no había ningún puerto MySQL así que deberemos hacer esto desde la terminal de comandos de la máquina víctima.
Vemos que hay un servicio MySQL ejecutandose de manera interna.
Ahora vamos a extraer información de la base de datos.
Para el usuario "root" la contraseña es "roottoor".
Vamos a comprobar si estas credenciales nos permite conectarnos al sistema como usuario "root" con privilegios máximos.
Solo quedará buscar la flag proof.txt.
Una vez que hayamos actualizado, podemos configurar un listener de netcat y luego recargar la página principal en: . Esto debería bloquear la página y luego deberíamos recibir una shell inversa.
Obtenemos dos posibles usuarios y sus respectivos hashes de contraseña, posiblemente cifradas en MD5. Vamos a tratar de descifrarlas con la herramienta . El usuario "admin" es aquel que descubrió la herramienta "wp-scan" durante la enumeración del CMS. Vamos a descifrar el hash de la contraseña del usuario "root".
Write-up de la máquina BTRSys2.1 de Proving Grounds #writeup #walkthrough