CK-00 VulnHub

Escaneo de puertos

nmap -p- --min-rate 5000 -sS <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-01 15:52 CEST
Nmap scan report for 192.168.5.160
Host is up (0.00066s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 d2:6f:64:b5:4c:22:ce:b2:c9:8a:ab:57:0e:69:4a:0f (RSA)
|   256 a8:6f:9c:0e:d2:ee:f8:73:0a:0f:5f:57:1c:2f:59:3a (ECDSA)
|_  256 10:8c:55:d4:79:7f:63:0f:ff:ea:c8:fb:73:1e:21:f6 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-generator: WordPress 5.2.2
|_http-title: CK~00 &#8211; Just another WordPress site
MAC Address: 00:0C:29:C3:7A:2A (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.66 ms 192.168.5.160

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.39 seconds

Gobuster

Info:

Vemos que hay un wordpress corriendo, por lo que hacemos lo siguiente...

Info:

Descubrimos que hay un usuario llamado admin, por lo que hacemos lo siguiente...

Info:

Ya sabemos las credenciales del usuario admin, que son las credenciales que vienen por defecto en el wordpress...

Credentials

Pero vemos que necesitamos editar el archivo hosts para verlo bien...

Una vez hecho esto ya podriamos logearnos perfectamente...

Dentro de wordpress si nos vamos a Theme Editor dentro del mismo vamos a editar la seccion de functions.php y en el editor inyectamos la Reverse Shell de la siguiente forma...

Le damos a Update File estando a la escucha...

Una vez hecho eso aunque nos de error si estamos a la escucha nos habra creado una shell con www-data....

Una vez hecho esto sanitizamos la shell...

Si vamos a la /home de ck leeremos la flag...

ck00-local-flag (flag1)

Si hacemos lo siguiente...

Info:

Por lo que vemos la siguiente linea...

Esto actua como un /bin/bash que tiene permisos SUID, por lo que haremos lo siguiente...

URL = https://github.com/Almorabea/pkexec-exploit

Esto nos lo llevaremos al servidor victima, ya sea copiando el contenido de python o transferirlo con algun comando como curl o wget, una vez teniendolo dentro...

Info:

Con esto ya seriamos root, por lo que leeremos la flag...

ck00-root-flag.txt (flag2)

PreviousChill_hack VulnHubNextClover_1 VulnHub

Last updated