BigPivoting (LIGOLO)

MAPEO:

TODO LO QUE HAREMOS

Escaneo inicial:

❯ nmap -p- --open --min-rate=5000 -T5 -A -sS -Pn 10.10.10.2

Teniendo el puerto 80 que es el de http entramos por ese service:

Se encontro un ubuntu la cual le hacemos una busqueda de directorios:

❯ gobuster dir -u http://10.10.10.2/ -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,html,txt,zip,xml -t 50 -e -k
un shop

Entramos:

Seguimos buscando mas directorios en /shop:

http://10.10.10.2/shop
Se encontro un index.php

Entramos:

  • Se evidencio un LFI:

Tenemos los dos posibles usuarios las cuales hacemos fuerza bruta por el service SSH:

❯ hydra -l manchi -P /usr/share/wordlists/rockyou.txt 10.10.10.2 ssh

Nos entramos por SSH:

ESCALAR PRIVILEGIOS

🔹 sudo -l

Concepto: Muestra qué comandos puede ejecutar el usuario actual con sudo sin contraseña.

Resultado: manchi puede ejecutar /usr/bin/find como root sin contraseña ((ALL : ALL) NOPASSWD: /usr/bin/find).

🔹 sudo /usr/bin/find . -exec /bin/bash \;

Concepto: Abusa de los permisos sudo para escalar privilegios ejecutando un shell como root.

Resultado: ¡Shell como root conseguido! 🔥

🔹 find / -perm -4000 2>/dev/null

Concepto: Busca archivos SUID (bit de privilegios especiales).

Uso típico: Ver qué binarios pueden usarse para escalar privilegios.

🔹 which getcap

Concepto: Muestra la ruta del binario getcap, usado para listar capacidades asignadas a archivos ejecutables.

🔹 ls -la /opt/

Concepto: Lista archivos y carpetas dentro de /opt/ con detalles.

🔹 ls -la /home/seller/

Concepto: Lista archivos de ese home, pero muestra Permission denied porque no tiene acceso.

🔹 ls -la /home/manchi/

Concepto: Lista contenido del home del usuario actual manchi.

🔹 ls -la /home/

Concepto: Lista los directorios de usuarios, útil para ver qué otros usuarios hay en el sistema.

🔹 ls -la /var/

Concepto: Lista contenido del directorio /var, donde hay muchos datos de servicios, backups, etc.

🔹 ls -la /var/backups/

Concepto: Mira si hay archivos interesantes (respaldos, contraseñas, etc.) en /var/backups.

🔹 ls -la /var/www/

Concepto: Inspecciona el directorio donde usualmente están los archivos web (servidores como Apache o Nginx).

Bueno usando suForce encontramos:

.

🔍 Escalada de Privilegios vía sudoers/usr/bin/php

Hallazgo

El usuario manchi tiene permisos sudo para ejecutar /usr/bin/php sin necesidad de contraseña:

bashCopiarEditarsudo -l

📌 Resultado:

bashCopiarEditar(ALL : ALL) NOPASSWD: /usr/bin/php

Esto significa que puede ejecutar php como root sin pedir contraseña.

🚨 Explotación

Usamos la siguiente línea para obtener un shell como root:

bashCopiarEditarsudo php -r 'system("/bin/bash");'

Este comando ejecuta /bin/bash directamente desde PHP, con permisos de root gracias al sudo.

PIVOTING 1

QUEREMOS QUE TODA LA INTERFAZ DE LA 20.20.20.2 NOS LLEGUE A NUESTRA MAQUINA POR UN TUNEL

TIENES QUE VER PRIMERO TODO EL DOCUMENTADO DE LIGOLO:

¿CÓMO USAR LIGOLO?

Una vez traído todo el segmento de red a nuestra red lo que hacemos es un escaneo:

fping -a -g 20.20.20.0/24
Tenemos una nueva dirección la 20.20.20.3

Le hacemos el respectivo escaneo:

nmap -p- -A -sS -Pn -n -v 20.20.20.3

  • En el puerto 80 le hacemos una busqueda de directorios:

Se encontró un maintenance.html

  • En el puerto 3000 corre un login:

Tenemos la versión:

Buscando exploits para ello se conseguio:

LogoGrafana 8.3.0 - Directory Traversal and Arbitrary File ReadExploit Database

Lo ejecutamos:

Encontramos al user -freddy-

Buscamos en el directorio que encontramos en la pagina web:

pass ??

Nos metemos por SSH:

🔍 Escalada de Privilegios vía sudoers

Lo editamos...

Esto se ejecutara como root:

Somos root:

SEGUNDO PIVOTING

Bien despues de traer nuevamente la interfaz de red hacemos un escaneo de la 30.30.30.0/24

30.30.30.3

Esceneo:

  • Solo dos puertos contiene 22/80.

Miramos el puerto 80:

De igual manera buscamos directorios:

secret.php?

Entramos:

Mario posible usuario...

Hacemos fuerza bruta por SSH con el usuario Mario:

Entramos por SSH:

🔍 Escalada de Privilegios vía sudoers

Logovim | GTFOBins

Si buscamos por GTFOBINS encontramos:

Somos root

PIVOTING 3

Nueva interfaz de red:

Bien una vez traído todo el segmento de red hacemos un escaneo:

Solo se encontró un puerto abierto el 80:

Lo primero es subirle un archivo malicioso:

🔍 Escalada de Privilegios vía sudoers

Tenemos root:

Se tiene que hacer un tratamiento de la TTL:

LogoTratamiento de la TTYInvertebrado | Hacking - Ciberseguridad

Bien!!!

PIVOTING 4

Bien ya traímos todo el segmento de red a nuestro equipo

Un escaneo a esa ip privada:

Entramo a ver la pagina web:

Buscando directorios y archivos se encontro:

Entramos al warning.html primero:

Ahora a la shell.php:

El comando que aparece en la imagen está utilizando ffuf (Fast web Fuzzer) para realizar fuzzing de parámetros en una URL específica. Aquí tienes el comando completo, transcrito correctamente:

ffuf -c -rate 3000 -fc 404 -fs 0 -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list

Y se pudo ejecutar comandos la cual le hacemos un webshell y bingo!!!!

PreviousHappyJump (LIGOLO)

Last updated