Nocturnal

---

Se le hizo un escaneo en la cual se vieron dos puertos abiertos:

• 22 SSH

• 80 HTP

Entramos por el 80:

Al agregar archivos se pudo observar el siguiente link de descarga:

Si el nombre de usuario se obtiene a través de la URL , puede enumerar los usuarios aquí.

http://nocturnal.htb/view.php?username=luis&file=new.xlsx

Con el siguiente comando:

ffuf -u 'http://nocturnal.htb/view.php?username=FUZZ&file=new.xlsx' \
     -w /usr/share/wordlists/rockyou.txt \
     -H 'Cookie: PHPSESSID=b39nq45rmcsmiu30uq3u80dj9m' \
     -fs 2985

Entramos al de amanda primero:

Descargamos el fichero

Se encontro una credencial

Con eso entramos al panel de admin:

Creamos el Backup y lo descargamos:

Se obtuvo un .db

Al abrirlo nos da un hash la cual la crakeamos:

ssh tobias@nocturnal.htb pass : slowmotionapocalypse

---

Encontramos un tunel abierto:

• Hay un servicio escuchando en el puerto 8080

• Pero solo en 127.0.0.1 (localhost), no está expuesto a la red

• Desde fuera (por ejemplo, tú en tu IP 10.10.16.70), no puedes acceder directamente a http://nocturnal.htb:8080

ssh -L 8080:127.0.0.1:8080 tobias@nocturnal.htb

Encontramos la version de ISPCONFIG:

El exploit:

GitHub - ajdumanhug/CVE-2023-46818: CVE-2023-46818 Python3 Exploit for ISPConfig <= 3.2.11 (language_edit.php) PHP Code Injection VulnerabilityGitHub

Y bingo:

SOMOS ROOT....

---