Nibbles

Resumen de la resolución

Acceso al panel de administración del CMS mediante guessing de las credenciales de administrador.
Explotación de un CMS Nibbleblog usando un exploit para acceder al sistema víctima abusando del plugin "My image" instalado por defecto en el CMS explotando una vulnerabilidad que permite ejecución remota de comandos (RCE).
Escalada de privilegios modificando un script en bash ejecutable bajo el usuario *root* (sudo) sobre el que tenemos permisos de escritura.

Habilidades adquiridas

Con Gobuster se puede usar el parámetro -f para autorrellenar las posibles rutas http con "/" al final.
Explotación del CMS Nibbleblog
Análisis de código en busca de función Blacklist
Práctica de fuerza bruta con hydra

Comandos y herramientas destacables

Hydra

hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.129.96.84 http-post-form "/nibbleblog/admin.php:username=^USER^&password=^PASS^:Incorrect username or password"

revshells.com

Walkthrough en YouTube:

AnteriorHack The Box SiguienteBlocky

Última actualización hace 2 años

hashtagResumen de la resolución

hashtagHabilidades adquiridas

hashtagComandos y herramientas destacables

hashtagWalkthrough en YouTube:

Resumen de la resolución

Habilidades adquiridas

Comandos y herramientas destacables

Walkthrough en YouTube: