Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzipcollections.zip
Nos lo descomprimira y despues montamos la maquina de la siguiente forma.
bashauto_deploy.shcollections.tar
Info:
## .
## ## ## ==
## ## ## ## ===
/""""""""""""""""\___/ ===
~~~ {~~ ~~~~ ~~~ ~~~~ ~~ ~ / ===- ~~~
\______ o __/
\ \ __/
\____\______/
___ ____ ____ _ _ ____ ____ _ ____ ___ ____
| \ | | | |_/ |___ |__/ | |__| |__] [__
|__/ |__| |___ | \_ |___ | \ |___ | | |__] ___]
Estamos desplegando la máquina vulnerable, espere un momento.
Máquina desplegada, su dirección IP es --> 172.17.0.2
Presiona Ctrl+C cuando termines con la máquina para eliminarla
Por lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
Info:
Si vamos a la pagina web vemos un apache tipico, pero si fuzzeamos mas a fondo...
Gobuster
Info:
Vemos que hay un wordpress por lo que iremos a ese sitio.
Pero vemos que no carga muy bien, por lo que si inspeccionamos el codigo de la pagina encontramos que utiliza un dominio llamado collections.dl, por lo que haremos lo siguiente.
Lo guardamos y ahora buscamos con el dominio poniendo lo siguiente.
Y ahora vemos que si nos carga bien, por lo que vemos dentro del wordpress un nombre de usuario llamado chocolate, probraemos a ver si existe realmente, llendo a la ruta tipica del panel de login de wordpress.
Vemos el panel de login y al probar el usuario, vemos que si existe ya que nos da informacion de que la contraseña no coincide con ese nombre de usuario, ahora veremos si hay mas usuarios.
wpscan
Info:
Vemos que solo hay un usuario chocolate.
Info:
Con esto vemos que sacamos la contraseña del usuario chocolate que es la misma que el nombre de usuario.
Por lo que nos podriamos logear, pero vemos que hay un plugin en el que se puede ver el passwd por lo que podriamor recopilar informacion con ello.
URL = https://www.exploit-db.com/exploits/44340
Si nos vamos a la siguiente URL, veremos el passwd.
Y vemos 2 usuarios, pero nos centraremos en tirarle fuerza bruta a uno de ellos llamado chocolate.
hydra
Info:
Vemos que nos saca una credenciales, por lo que nos conectaremos por ssh con ellas.
SSH
Metemos la contarseña y ya estariamos dentro.
Escalate user dbadmin
Si nos vamos a la siguiente ubicacion ~/.mongodb/mongosh veremos varios archivos, pero el que nos interesa es el siguiente.
Info:
Vemos que tenemos unas credenciales y si recordamos, hay un usuario llamado dbadmin por lo que cambiaremos a ese usuario con esa contarseña.
Y metemos esa contarseña, por lo que ya seriamos ese usuario.
Escalate Privileges
Aparentemente no vemos ninguna escala de privilegios, pero si probamos la misma contarseña del usuario dbadmin con root veremos que funciona.
Ponemos la siguiente contarseña chocolaterequetebueno123 y veremos que somos root, por lo que ya la habriamos terminado.
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-08-09 11:49:34
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 64 tasks per 1 server, overall 64 tasks, 14344399 login tries (l:1/p:14344399), ~224132 tries per task
[DATA] attacking ssh://172.17.0.2:22/
[22][ssh] host: 172.17.0.2 login: chocolate password: estrella
1 of 1 target successfully completed, 1 valid password found
[WARNING] Writing restore file because 27 final worker threads did not complete until end.
[ERROR] 27 targets did not resolve or could not be connected
[ERROR] 0 target did not complete
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2024-08-09 11:49:42
User = chocolate
Pass = estrella
ssh chocolate@<IP>
cat mongosh_repl_history
show dbs
db.fsyncLock()
db.usuarios.insert({"usuario": "dbadmin", "contraseña": "chocolaterequetebueno123"})
use accesos
