Enumeración

Nmap

Nikto

Accedo al serivor web y encuentro una sección de “Login” y una de “Upload” la cual me indica que debo tener iniciada sesión para acceder a ella.

Reviso el código fuente en busca de alguna pista sin éxito. Accedo a la página de Login y veo que la URL es susceptible a inyección por LFI “http://10.0.1.128/?page=login”, voy a probar a leer el archivo “config.php” revelado por Nikto.

Local File Incursion

URL: http://10.0.1.128/?page=php://filter/convert.base64-encode/resource=config

Resultado: PD9waHANCiRzZXJ2ZXIJICA9ICJsb2NhbGhvc3QiOw0KJHVzZXJuYW1lID0gInJvb3QiOw0KJHBhc3N3b3JkID0gIkg0dSVRSl9IOTkiOw0KJGRhdGFiYXNlID0gIlVzZXJzIjsNCj8+

Desencripto el resultado obtenido en Base64.

Ahora tengo el usuario y contraseña de la base de datos MySQL.

MySQL

Desencripto las contraseñas que parecen estar en Base64.

Por lo que la lista de usuarios queda así:

Realizo el login en la web con el usuario “kent” y la contraseña “JWzXuBJJNy” y obtengo acceso al “Upload”. Voy a tratar de subir una shell.

Explotación

Al subir una PHP Shell me indica: “Not allowed extension, please upload images only.” por lo que voy a revisar el código fuente del Upload para ver los filtros que usa.

URL: http://10.0.1.128/?page=php://filter/convert.base64-encode/resource=upload

URL: http://10.0.1.128/?page=php://filter/convert.base64-encode/resource=index

El código fuente de la página index.php muestra el uso de la Cookie “Lang” por lo que voy subir una shell como gif y a añadir la imagen subida para que la cargue al inicio de la web

La imagen se ha subido con la URL: http://10.0.1.128/upload/f3035846cc279a1aff73b7c2c25367b9.gif

Ahora creo la Cookie “lang” con el valor “../upload/f3035846cc279a1aff73b7c2c25367b9.gif”, pongo una terminal a la escucha y recargo la página.

Escalado de privilegios

Archivo passwd

El archivo “passwd” me muestra los usuarios “kent, mike y kane” que son los mismos que obtuvimos anteriormente para el acceso a la web; tan solo faltaría la contraseña para el usuario “john”. Probaré si son válidos en la shell.

Vulnhub