HTB - Write Up - Webmin Explore - Easy (NIX03)
Enumeração
Para enumerar as máquinas da rede 172.16.1.0/24 também usei outra ferramenta além do NMAP, chamada FScan. O resultado dessa ferramenta trás as portas Open, os diretórios com listagem habilitada e o título da aplicação para identificação.
./fscan_amd64 -h [IP] -socks5 127.0.0.1:1080
O servidor 172.16.1.17 possui o Webmin instalado, o serviço SMB e na porta 80 possui a listagem de diretórios habilitada.
No serviço SMB é possível fazer a listagem de diretório de forma anonima.
proxychains smbclient -L //[IP]/
E é possível acessar o diretório de forma anonima.
proxychains smbclient -N //[IP//forensics/
No diretório forensics existe um arquivo chamado monitor e o download desse arquivo é permitido.
> get monitor
O arquivo trata-se de uma captura de tráfego, ou seja, pcap, conforme mostra o comando:
file monitor
Arquivo pcap podem ser abertos com a ferramenta Wireshark. Na captura de tráfego é possível ver as credenciais do usuário admin referente a aplicação Webmin.
Após o login, é possível identificar a versão da aplicação na resposta HTTP interceptada pelo Burp Suite.
O Webmin nessa versão é vulnerável a RCE, no entanto, ao conseguir o acesso com o usuário admin, é possível acessar a shell integrada na ferramenta e o acesso é estabelecido como root.
Exploits disponíveis para o Webmin.
Comentários
Postar um comentário