Daily Bugle

Comenzamos lanzando un nmap a la maquina:

Y luego lanzamos un gobuster:

y encontramos este directorio con un README.txt en el que se ve la version del joomla 3.7.0.Vamos a buscar a continuacion por google a ver si encontramos alguna CVE.

Y encontramos esto:

Lo ejecutamos y vemos como hemos encontrado un usuario jonah con la contraseña , vamos a intentar descifrarla.

sudo python3 joomblah.py http://10.10.23.124

Tras hacerlo un hashid vemos como se trata de un hash bcrypt :

Vamos a romperlo con hashhcat pero como sabemos que tardara bastante vamos a filtrar en el rockyou por las lineas en las que puede estar para uqe no tarde tanto:

hay que añadirle --show al comando cuando termine

sed -n '45000,50000p' /usr/share/wordlists/rockyou.txt | hashcat -m3200 -a0 --force 'jonah.txt'

Con estas credenciales ya podriamos acceder al joomla :

Ahora indagando un poco en las templates , si vamos a modificar alguna:

Nos deja subir un reverse shell:

hremos utilizado la tipica reverse shell php de pentestmonkey

Ya solo nos faltaria ejecutarla en la web:

Y en nuestro listener ya tendriamos la shell:

Mirando un poco vemos como:

Hay un usuario llamado jjameson , nos lo guardamos.

Y mirando un poco mas por el equipo:

Tenemos un archivo configuration.php en el directorio del webserver , si lo miramos detenidamente:

Tenemos el user "root" y la contraseña para acceder a la base de datos.

Pero si utilizamos el usuario jjameson y esta contraseña por ssh:

Vemos como accedemos como el usuario , agarramos la user flag:

Y una vez tenemos la user flag , vamos a escalar privilegios para root , empezamos con un sudo -l como siempre:

Y parece que el yum , tiene privilegios de root.Sabiendo esto nos vamos a gtfobins y escalamos con el script que nos pasa:

Y ya solo tenemos que conseguir la flag de root: