Dog

Hacemos un escaneo basico con nmap:

Hacemos una busqueda de directorios:

Se encontro un .git la cual la descargaremos:

GitHub - lijiejie/GitHack: A `.git` folder disclosure exploitGitHub

Con esta herramienta

Adentro se encontró unas credenciales de la bd:

Ahora en la página web podemos observar el correo support@dog.htb

Si intentamos ingresar con las credenciales support@dog:BackDropJ2024DS2024 al CMS nos menciona que el usuario no es válido, es por ello que regresando a nuestro directorio grepeamos en busca de un correo.

Ahora ingresamos con el correo de ttiffany@dog.htb : BackDropJ2024DS2024

nos podemos autenticar en el CMS y podemos observar la versión del mismo.

Usaremos el siguiente exploit:

Backdrop CMS 1.27.1 - Authenticated Remote Command Execution (RCE)Exploit Database

Bien!! ahora ejecutemos el exploit pero al ver que el CMS solo acepta .tar lo intentaremos comprimir en un .tar:

Y ese .tar lo mandamos al CMS:

Lo grepeamos:

Ingresemos por ssh johncusack: BackDropJ2024DS2024

Ahora escalar privilegios:

Después de investigar lo que que es bee podemos observar que es una herramienta que permite gestionar el servidor web desde el cli, además permite realizar ejecucion de comandos con php por lo que para obtener el root.txt utilizaremos los siguientes comandos.

cd /var/www/html/

sudo /usr/local/bin/bee ev "system('cat /root/root.txt')"