Clover_1 VulnHub
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-15 11:27 EDT
Nmap scan report for 192.168.5.190
Host is up (0.00032s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.2
| ftp-syst:
| STAT:
| FTP server status:
| Connected to ::ffff:192.168.5.175
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| At session startup, client count was 2
| vsFTPd 3.0.2 - secure, fast, stable
|_End of status
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxr-xr-x 2 ftp ftp 4096 Mar 26 2021 maintenance
22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u8 (protocol 2.0)
| ssh-hostkey:
| 1024 bc:a7:bf:7f:23:83:55:08:f7:d1:9a:92:46:c6:ad:2d (DSA)
| 2048 96:bd:c2:57:1c:91:7b:0a:b9:49:5e:7f:d1:37:a6:65 (RSA)
| 256 b9:d9:9d:58:b8:5c:61:f2:36:d9:b2:14:e8:00:3c:05 (ECDSA)
|_ 256 24:29:65:28:6e:fa:07:6a:f1:6b:fa:07:a0:13:1b:b6 (ED25519)
80/tcp open http Apache httpd 2.4.10 ((Debian))
| http-robots.txt: 3 disallowed entries
|_/admin /root /webmaster
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.4.10 (Debian)
MAC Address: 00:0C:29:0C:40:0D (VMware)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.64 secondsftp
Nos encontraremos el siguiente directorio que contiene lo siguiente...
Nos descargamos todos...
Y cada uno de ellos contendra lo siguiente...
locale.txt
test.txt
test2.txt
No hay mucha informacion...
Gobuster
Info:
Vemos varias cosas interesantes...
Si nos vamos al /robots.txt...
Vemos varias rutas, pero ninguna valida, por lo que nos vamos a /website y encontraremos una pagina web, le tiraremos un gobuster...
Info:
No hay gran cosa, pero si se inspecciona la pagina de /website vemos que esta con la estructura del CMS ColdFuison por lo que si buscamos por Google donde se encuentra por defecto el Administrator del CMS de ColdFusion veremos lo siguiente...
Por lo que parece deberia de estar en una carpeta llamada CFIDE y si lo buscamos en la URL es cierto no aparecera una carpeta llamada Administrator y si entramos dentro una pagina web...
Info:
Si nos vamos a /login.php veremos un panel de login y si introducimos...
Nos logeara pero no veremos nada por lo que ya deducimos que es vulnerable a SQL Injecction haremos lo siguiente...
Estando dentro de ese panel, pondremos lo que sea en el usuario y contraseña pero antes de darle a enviar lo capturaremos con Burp Suit para copiar el request y pegarlo en un archivo de texto para ejecutar la herramienta sqlamp...
request.txt
Una vez tengamos nuestro archivo ejecutamos lo sigueinte...
Info:
Nos descubrira una base de datos llamada clover...
Info:
Por lo que vemos nos saco varias credenciales, pero la que nos interesa es la del usuario asta...
Si crackeamos esa contraseña quedaria algo tal que asi...
Por lo que nos conectamos por ssh...
Y una vez dentro metiendo esa contarseña leemos la flag...
local.txt (flag1)
Si nos vamos a la siguiente ruta...
Vemos un archivo llamado passwd.sword y contiene lo siguiente...
Por lo que haremos lo siguiente...
Para crear un diccionario con todas las posibles combinaciones numericas, una vez hecho esto tiraremos un hydra...
Info:
Si hacemos...
Y metemos esa contraseña seremos ese usuario y llendo a su home leeremos la otra flag...
local2.txt
Si hacemos lo siguiente...
Veremos esto...
Veremos que tenemos un permiso SUID en un archivo poco comun y que se puede explotar para ser root...
Si ejecutamos eso vemos que es un lenguaje de progrmacion con Lua por lo que haremos lo siguiente...
Con esto ya seriamos root por lo que leeremos la flag...
proof.txt (flag3)
Last updated