👮INTERNAL

Primero, realicé modificaciones en el archivo hosts ubicado en /etc/hosts para agregar una entrada que mapeara la dirección IP interna de la máquina objetivo con un nombre de dominio específico (internal.thm), lo que facilitaría la navegación y el acceso posterior.

echo "10.10.7.3  internal.thm" | sudo tee -a /etc/hosts 

Luego, empleé la herramienta de escaneo de puertos Nmap para realizar un análisis exhaustivo de los servicios en la máquina objetivo:

nmap -sS -sV -O -script='vuln' 10.10.7.3

Los resultados revelaron la presencia de dos puertos abiertos: el puerto 22 (SSH) y el puerto 80 (HTTP). Decidí investigar más a fondo el servicio web alojado en el puerto 80 y encontré una página de bienvenida predeterminada para Apache2.

Posteriormente, utilicé la herramienta de enumeración GoBuster para buscar posibles directorios y páginas web ocultas en el servidor:

gobuster dir -w /usr/share/wordlists/dirb/common.txt -u http://internal.thm/

GoBuster identificó varias páginas web interesantes de blog y logins, entre ellas, la existencia de un sitio de WordPress alojado en la máquina de destino, así como páginas de inicio de sesión como /blog y /phpmyadmin.

Al centrarme en la página de inicio de sesión de WordPress, descubrí que mediante un proceso de fuerza bruta utilizando la herramienta WPSCAN, pude obtener las credenciales del usuario ADMIN.

Con las credenciales de administrador, accedí al panel de WordPress y encontré la forma de incluir un script en php de reverse shell en la edicion del codigo de plantilla del HOME PAGE donde incruste mi script, para ponerme a la escucha con NETCAT y recibir la reverse shell al ejecutar la peticion de la url del home page entrando como usuario virtual www-data .

Exploré diferentes técnicas para obtener acceso más profundo al sistema y enumeracion para escaladas de privilegios pero no habia algo vicible a grandes razgos como exploit que intente sin coinsidir versiones, ni BITSUID activos interesantes, encontrando a posterios en el directorio /opt un archivo TXT (recordar enumerar txt con find) que contenia cedenciales de la usuario AUBREANNA con las que obtuve acceso por SSH, y con las que consegui leer en su directorio otro achivo TXT que afirmaba un servidor corriendo localmente en 172.17.0.2:8080 al cual lo tunelizamos desde nuestra maquina usando SSH.

ssh -L 8082:localhost:8080 -N -f -l aubreanna 10.10.7.3

Luego constatamos en localhost:8082 desde el browser en nuestra maquina atacante un sitio de login de JENKINS, del cual teniamos que capturar las REQUEST al enviar solicitudes de logueo pero se nos complico con BURPSUITE y demas tools(calculo que por la tunelizacion) asi que buscamos la solucion mas Simple usamos las HERRAMEOINTAS DE DESARROLLADOR del BROWSER y enconramos la request y su carga util, las cuales usamos con el comando de HYDRA paar ejerser fuerza bruta al login de JENKINS rogando pegarle con el mismo usuario de ADMIN y se tenzo conseguimos dar con las credenciales del panel de JENKINS:

hydra  -l admin -P /usr/share/wordlists/rockyou.txt localhost -s 8083 http-post-form 
 "/j_acegi_security_check:j_username=^USER^&j_password=^PASS^&from=%2F&Submit=Sign+in&Login:.*Invalid 
 username or password.*" -V

Finalmente en el panel de JENKINS encontre un terminal de ingreso de script a traves de donde pude cargar mi otra reverse shell y conseguir acceso como JENKINS a este servidor donde encontre mediante una cuidadosa enumeración con find y manualmente, credenciales adicionales almacenadas en un archivo en /opt que esta vees decian ser de ROOT, lo que me permitió obtener acceso como usuario ROOT y completar con éxito la escalada de privilegios.

Este proceso ilustra la importancia de la enumeración exhaustiva de pruebas o divulgacion de informacion confidencial en los sistemas vulnerados y la exploración de múltiples vectores de ataque para obtener acceso y privilegios en un entorno objetivo. Por lo tanto esto nos enseña a tener en cuenta el tener credenciales seguras que no sean populares o puedan estar divulgadsa publicamente paar no corer riezgos de que rse encuentren en wordlist publicos; y tambien evitar la divulgacion de mensajes o archivos que expongan nuestras credenciales o las de otros usuarios en nuestro sistema dado que fue esto crucial para nosotros en este caso como atacante para lograr el control de esta maquina INTERNAL.