Photographer VulnHub

Escaneo de puertos

nmap -p- --min-rate 5000 -sV <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-14 07:19 EDT
Nmap scan report for 192.168.195.138
Host is up (0.00092s latency).

PORT     STATE SERVICE     VERSION
80/tcp   open  http        Apache httpd 2.4.18 ((Ubuntu))
|_http-title: Photographer by v1n1v131r4
|_http-server-header: Apache/2.4.18 (Ubuntu)
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
8000/tcp open  http        Apache httpd 2.4.18
|_http-title: daisa ahomi
|_http-generator: Koken 0.22.24
|_http-server-header: Apache/2.4.18 (Ubuntu)
MAC Address: 00:0C:29:A5:23:4E (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Hosts: PHOTOGRAPHER, example.com

Host script results:
|_clock-skew: mean: 1h20m00s, deviation: 2h18m34s, median: 0s
| smb2-time: 
|   date: 2024-05-14T11:20:35
|_  start_date: N/A
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.3.11-Ubuntu)
|   Computer name: photographer
|   NetBIOS computer name: PHOTOGRAPHER\x00
|   Domain name: \x00
|   FQDN: photographer
|_  System time: 2024-05-14T07:20:36-04:00
|_nbstat: NetBIOS name: PHOTOGRAPHER, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required

TRACEROUTE
HOP RTT     ADDRESS
1   0.92 ms 192.168.195.138

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 47.67 seconds

Gobuster

Info:

Si te conectas al samba encuentras lo siguiente...

Info:

Info:

Estos archivos estarian en nuestro host...

Si leemos el .txt veremos lo siguiente...

En el otro archivo hay un WordPress comprimido, al descomprimirlo veremos muchos archivos realcinados a un wordpres...

enum4linux

Info:

Info:

Descubrimos en el puerto 8000 que hay un panel de login /admin/ y tenemos ya el usuario y contraseña de daisa...

Una vez estamos dentro del panel, nos dirigimos a content donde subiremos nuestro archivo .php.png con una Reverse Shell, pero antes de darle a importar, debemos de abrir BurpSuit y capturar la peticion de subida para de forma interna cambiar ese .php.png a .php, le daremos a Forward para seguir y ya estaria subida como .php, nos volveriamos a la pagina normal y estando a la escucha, abrimos el archivo...

Peticion BurpSuit:

Donde pone shell.php.png lo cambiamos a shell.php y le damos a siguiente...

Y ya estariamos dentro, sanitizamos la shell...

Si nos vamos a /home/daisa/ leemos la flag...

user.txt (flag1)

Si hacemos lo siguiente seremos root...

Con esto vemos que tenemos permisos de SUID para lo siguiente...

Haremos lo siguiente...

Con esto ya seriamos root, por lo que leemos la flag...

proof.txt (flag2)

PreviousOdin VulnHubNextPrime_2 VulnHub

Last updated