Enumeración
Como siempre, lo primero sera un escaneo puertos con nmap:
nmap 10.10.10.102
Antes de nada vamos a echarle un ojo a la web:
Es un drupal, antes de seguir indagando en esto vamos a revisar otros servicios.
En la salida del nmap vemos que podemos acceder anonimamente al ftp:
ftp 10.10.10.102
En el ftp encontramos un fichero '.drupal.txt.enc', vamos a descargarlo:
Parece un fichero encriptado mediante openssl
Para descifrarlo necesitamos la clave, para eso usaremos un script que haga fuerza bruta: brute-aes-256.sh Tras unos pocos segundos:
Leemos el mensaje y nos damos cuenta de que las credenciales del Drupal son:
admin:PencilKeyboardScanner123
Explotación
Nada mas entrar al panel de administración, lo primero que se me ocurrio fue subir una shell php:
Otra forma posible para sacar RCE es aprovechar la vulnerabilidad CVE-2018-7602
Post-Explotación
Una vez obtenemos shell podemos empezar a buscar en los ficheros del drupal por las credenciales de la base de datos, que se encuentran en: /var/www/html/default/settings.php
'password' => 'drupal4hawk'
Esta contraseña nos servira para escalar al usuario 'daniel':
Revisando los servicios encontrados en el nmap vemos un H2 Console, vamos a intentar acceder a ella para escalar a root:
ssh -L 8082:10.10.10.102:8082 daniel@10.10.10.102
Mediante un tunnel ssh podremos acceder al H2 Console mediante nuestro navegador en localhost
Una vez hemos accedido podemos usar una famosa vulnerabildad que nos permitira ejecutar comandos en la maquina como root:
https://mthbernardes.github.io/rce/2018/03/14/abusing-h2-database-alias.html
Contribución gracias a Manu de Iron Hackers
impresionado, nose si lo lei muy rapido o lo hicieron en muy poco tiempo todo, muy buenos.
ResponderEliminarMe encanta el tema de los gifs... Queda super bien explicado!
ResponderEliminarEnhorabuena!!