_____ _    _         _____  _____ _   _          _____   _____  
    / ____| |  | |  /\   |  __ \|_   _| \ | |   /\   / _ \ \ / / _ \ 
   | |  __| |  | | /  \  | |__) | | | |  \| |  /  \ | | | \ V / | | |
   | | |_ | |  | |/ /\ \ |  _  /  | | | . ` | / /\ \| | | |> <| | | |
   | |__| | |__| / ____ \| | \ \ _| |_| |\  |/ ____ \ |_| / . \ |_| |
    \_____|\____/_/    \_\_|  \_\_____|_| \_/_/    \_\___/_/ \_\___/ 
                                                                     
                    ./Guarina0x0
Titulo: OSCP - Photographer
Fecha: 15-11-2021
Descripcion: Enumeracion - SMB - CMS - Wordlists - SUID

OSCP - Photographer Writeup

## Ping:

ping -c1 192.168.218.76

Mediante el comando ping vamos a trazar una ruta ICMP para ver si la maquina esta activa y ante que tipo de sistema operativo estamos

Podemos ver que la respuesta del ttl es 63 , el TTL en maquinas Linux es 64 y en maquinas Windows 128 , en este caso es 63 porque pasa por un nodo intermediario.

## Enumeracion :

Ahora vamos a proceder a ver que servicios tiene esta maquina abiertos para ello vamos a realizar una enumeracion de puertos:

nmap -sS -T5 -p- --open -v -n -Pn 192.168.218.76

  • Puerto 22 SSH
  • Puerto 80 HTTP
  • Puerto 139 Netbios-SSN
  • Puerto 445 Microsoft-DS

    • Vamos aplicar un escaneo aplicando script de Nmap para detectar version que corren en los servicios y para que nos apliquen scripts basicos de enumeracion

    ## Enumeracion SMB:

    Disponemos del puertro 139 y 445 abierto , por lo que vamos a enumerar el servicio SMB

    Con smbmap , vamos a listar el contenido y que permisos tenemos y vamos a poder apreciar 2 archivos interesantes

    Mediante la herramienta smbclient , vamos a proceder a descargar esos ficheros

    Si vemos el contenido de mailsent.txt , vamos a ver 2 correos potenciales y una frase que nos dice que no olvide la contraseña y le pone babygirl que podemos pensar que es una posible contraseña que necesitemos , por lo que nos vamos a guardar los 2 correos y la potencial contraseña

    ## Enumeracion Web:

    Disponemos del servicio web corriendo en el puerto 80 y en el puerto 8000 , por lo que mediante la herramienta WhatWeb vamos a inspeccionar si estamos ante algun gestor de contenido

    Podemos ver el contenido de la pagina web en el puerto 80

    Podemos ver el contenido de la pagina web en el puerto 8000

    Si usamos el plugin Wappalyzer , nos va a reportar que en el puerto 8000 estamos ante un gestor de contenido llamado "Koken" en la version 0.22.24

    Cuando estamos ante un CMS , podemos usar la herramienta searchsploit que se conecta con la API de exploitdb y nos facilita si hay alguna vulnerabilidad reportada y que cuente con prueba de concepto

    Podemos ver que para la version que tenemos hay una vulnerabilidad de "Arbitry File Upload" , es decir podemos subir una shell reverse segun la prueba de concepto en formato php asociandole la extension jpeg y mediante burp suite quitar el jpeg a la hora de realizar la subida

    Mediante la herramienta wfuzz vamos a realizar un fuzzing en busca de directorios web potenciales , para acceder a un posible panel de administracion

    Podemos ver que estamos ante un directorio web llamado admin

    El cual nos pide un correo y una contraseña para acceder , si recordamos en el servicio smb teniamos 2 correos y una potencial contraseña , por lo que mediante la herramienta Crunch voy a crear un wordlists con la palabra "babygirl"

    Mediante la herramienta Burp Suite y su apartado de "Intruder" , vamos a seleccionar el target

    Y vamos a seleccionar en este caso como "Payload" la contraseña

    Y vamos a cargar el diccionario personalizado que hemos creado mediante crunch

    Y tras unos segundos ya tenemos la contraseña para acceder al panel de administracion del CMS de Koken

    Ahora vamos acceder al panel de administracion y vamos a realizar la explotacion

    ## Explotacion Koken CMS:

    El exploit nos decia que crearamos una shell reversa con la extesion php.jpeg y la subieramos capturando la peticion mediante Burp Suite y quitandole en la subida la exntesion jpeg antes de subirlo al servidor asi bypasseamos la seguridad

    Ya tenemos cargado nuestro archivo malicioso , ahora mediante el proxy de Burp Suite vamos a capturar la peticion

    Vamos a eliminar la extension .jpeg y solo vamos a dejar reverse.php y vamos a enviar la peticion

    Ahora solo nos queda ponernos a la escucha mediante el puerto que hemos configurado y ejecutar nuestro shell desde el dashboard

    Ya tenemos una shell como www-data , ahora nos queda escalar privilegios

    ## Escalada de Privilegios:

    Podemos ya visualizar el flag del usuario

    Ahora mediante el script LinPeas , vamos a enumerar el sistema en busca de ficheros potenciales , permisos SUID LinPEAS

    En la parte de Ficheros Interesantes encontramos un permiso SUID con el que nos vamos a poder convertir en Root /usr/bin/php7.2

    Ahora solo nos queda irnos a https://gtfobins.github.io/ y buscar el permiso de PHP

    Y ya seriamos Root y tendriamos la maquina explotada

    Una de las maquinas que tenemos en el laboratorio de la certificacion OSCP de un nivel facil