Vamos a comenzar haciendo el tipico nmap y gobuster:
Parece que encontramos un directorio llamado /cloud
Vamos a comenzar accediendo al directorio cloud:
Vemos que es un uploader de archivos , vamos a probar a subir un shell de php pero en vez de subirlo de forma normal vamos a añadirle al final "#.png" para que crea que se esta subiendo una foto:
Antes hay que setear un listener y una vez hecho esto le damos a subir
Y vemos como ya tenemos la shell , luego podemos upgradear la shell con este comando:
Tras bichear un poco vemos como nos encontramos en el directorio /opt con un archivo .kbdx este tipo de archivos pertenecen a keepass.Vamos a tratar de traernoslo a nuestra maquina:
Primero en nuestra maquina seteamos un listener con el nombre que queremos que tenga el archivo
Luego en la maquina objetivo mandamos el archivo a traves de nc al puerto 9999
Y como podemos comprobar ya tenemos el archivo:
El siguiente paso sera formatearlo para romperlo con el john:
keepass2john
Con esto ya solo nos falta crackearlo con john:
john keepass
y aqui tenemos la pass
Ahora que ya tenemos la contraseña de la base de datos es necesario descargarnos el software de keepass para abrir el dataset.kdbx y poner la contraseña del john y asi ver la contraseña del usuario syadmin:
keepassxc
Aqui estamos abriendo dataset.kdbx
Y aqui ya viendo la pass que esta dentro
Por ultimo nos conectamos por ssh y vemos la flag:
Ahora para la escalada de privilegios vamos a ver el script que esta dentro:
Parece que tiene que ver con otro script llamado backup.inc.php
Vamos a mirar ese otro script:
Si intentamos modificarlo vemos como no tenemos permisos.
Pero si miramos los permisos de la carpeta lib parece que si tenemos permisos, y si subimos una webshell pero con el nombre del script anterior?
Primero modificamos el archivo de la shell a un nuevo , puerto y luego lanzamos un servidor http de python
Luego en la maquina objetivo nos descargamos el shell pero ya con el nombre que debe tener mediante el comando wget
wget
Y aqui la prueba , una vez hecho esto acordarse de setear el listener en nuestra maquina en el puerto 7777
