Nibbles
Resumen de la resolución
Acceso al panel de administración del CMS mediante guessing de las credenciales de administrador.
Explotación de un CMS Nibbleblog usando un exploit para acceder al sistema víctima abusando del plugin "My image" instalado por defecto en el CMS explotando una vulnerabilidad que permite ejecución remota de comandos (RCE).
Escalada de privilegios modificando un script en bash ejecutable bajo el usuario *root* (sudo) sobre el que tenemos permisos de escritura.
Habilidades adquiridas
Con Gobuster se puede usar el parámetro -f para autorrellenar las posibles rutas http con "/" al final.
Explotación del CMS Nibbleblog
Análisis de código en busca de función Blacklist
Práctica de fuerza bruta con hydra
Comandos y herramientas destacables
Hydra
revshells.com
Walkthrough en YouTube:
Última actualización