OpenAdmin
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
Nombre de la máquina:
IP de la máquina:
10.10.10.171
Sistema simulado:
Ubuntu Server
Servicio vulnerado:
Open Net Admin 18.1.1
EDB-ID:
47691
Comenzamos el ejercicio realizando un scan sobre los puertos abiertos de la IP 10.10.10.171 con NMAP.
Al meternos por el puerto 80 en la IP podemos encontrar la siguiente página web que nos indica que tenemos un servicio Apache 2 de Ubuntu funcionando.
Ejecutamos la herramienta FFuF para buscar los directorios del servicio apache, encontrando algunas carpetas como Music o Artwork. Al intentar logearnos dentro de la web que aparece en 10.10.10.171/music aparece el subdominio “ona”, siglas para Open Net Admin.
Buscamos dentro del subdominio 10.10.10.171/ona y encontramos un panel de control de Open Net Admin. Dentro de este panel nos encontramos la versión del sistema.
Para la versión 18.1.1 de Open Net Admin encontramos una vulnerabilidad conocida que permite la ejecución de código remoto y está encuadrada en el ID de Exploit Database como la 47691.
Examinamos el exploit buscando entender el funcionamiento del mismo. Una vez analizado, decidimos modificar una petición curl introduciendo parte del código con el objetivo de realizar una rever Shell.
Nos ponemos en escucha por el puerto 443, consiguiendo establecer conexión y tener así la revershell en funcionamiento.
Comprobamos el directorio /home, pero nos percatamos de que no tenemos permisos para acceder a las carpetas de Jimmy ni Joanna.
Vamos a buscar el archivo de configuración de la base de datos de ONA para poder ver la contraseña del usuario. En este caso, será “n1nj4W4rri0R!”.
Con esta contraseña iniciamos sesión como el usuario Jimmy.
Una vez accedemos al usuario Jimmy podemos acceder a algunos directorios para los que no teníamos permisos previamente. Investigando encontramos el archivo internal.conf que tiene un Vhost en el 127.0.0.1:52846 con internal.openadmin.htb desplegado y asignado a Joanna.
EN este punto accedemos mediante SSH al sitio interno.
Llegados a este punto, encontramos un portal interno:
Para conseguir insertar código como Joanna, vamos a insertar un archivo php en la web, el cual nos permitirá, mediante la url inyectar código.
Realizamos una prueba y vemos que podemos ejecutar código como Joanna.
Llegado este punto encodeamos mediante la herramienta cyberchef el comando que queremos ejecutar para establecer una revershell que nos permita el acceso al usuario de Joanna.
Una vez lanzamos esta petición, conseguiremos una revershell como Joanna en el puerto 1234.
Examinando los archivos PHP que tenemos resulta viable ver la contraseña de Joanna.
Lanzamos una petición por curl para ver el contenido de la clave RSA.
Utilizaremos ssh2jon para conseguir el hash.
Tras utilizar John, conseguimos la contraseña “bloodninjas” para el usuario Joanna.
Una vez obtenida la contraseña nos conectamos mediante SSH al usuario Joanna.
Realizamos sudo -l y descubrimos que Nano lo podemos usar como sudo y tenemos acceso al directorio priv. Es porque lo que ejecutamos /opt/priv y al pulsar cntrl R y cntrl X conseguimos ejecutar código.
Y con ello conseguimos dar privilegios a /bin/bash ya que tenemos el suid.
Ejecutamos el comando bash -p y conseguimos acceso.
Si te he ayudado sígueme y apóyame en
