RootThis_1 VulnHub

Escaneo de puertos

nmap -p- --min-rate 5000 -sV <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-04 11:24 EDT
Nmap scan report for 192.168.5.168
Host is up (0.00054s latency).

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-server-header: Apache/2.4.25 (Debian)
|_http-title: Apache2 Debian Default Page: It works
MAC Address: 00:0C:29:0D:F7:7A (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   0.54 ms 192.168.5.168

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.92 seconds

Gobuster

Info:

Nos apareceran 2 directorios bastante interesantes llamados /drupal y /backups, en la parte de drupal encontraremos un panel de login y en la de backups nos descargara un .zip que contendra informacion de una base de datos de mysql pero protegido con contraseña...

Info:

Por lo que vemos nos saca la contraseña del .zip, por lo que lo descomprimimos...

Info:

Y si vemos su contenido, veremos muchas cosas, pero entre ellas lo que parece interesante es lo siguiente...

Info:

Nos saca las credenciales de webman, si las utilizamos en la pagina nos logeara...

Una vez que estemos dentro del drupal haremos lo siguiente para conseguir una Reverse Shell...

URL = https://www.sevenlayers.com/index.php/blog/413-drupal-to-reverse-shell

Antes de darle a Preview estaremos a la escucha...

Una vez hecho esto ya tendremos una shell con el usuario www-data, por lo que la tendremos que sanitizar...

Si nos vamos a la /home del usuario user leeremos la siguiente nota llamada MessageToRoot.txt...

Investigando en el backup que encontramos antes de mysql encontre esto...

Info:

Nos saca la password pero no nos deja entrar por mysql y no es la password de nadie, asi que nos la guardaremos...

Pero en la nota vimos que la contraseña de root esta de la 0-300 lineas del diccionario rockyou.txt por lo que en nuestro host haremos lo siguiente...

En la maquina victima...

Una vez hecho esto ya tendriamos el diccionario que utilizaremos para probar las crontraseñas para explotar al usuario root...

Utilizaremos un repositorio de GitHub llamado sucrack...

URL = https://github.com/hemp3l/sucrack

Esto nos lo descargamos en nuestro host y hacemos lo siguiente...

Una vez hecho todo eso mediante python nos pasamos el archivo nuevamente comprimido...

Una vez descomprimido hacemos lo siguiente...

Info:

Por lo que nos cambiamos a root...

Una vez siendo root leeremos la flag...

flag.txt (flag_final)

PreviousPYLINGTON VulnHubNextSeppuku VulnHub

Last updated