# PermX

Iniciando con un escaneo de puertos y servicios me encontre con los 2 siguientes resultados<br>

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2F2m1SkugBPT8yuFqrsCob%2F%7B66CC1E6A-1857-4E34-BE79-1E30F667527F%7D.png?alt=media&#x26;token=cd2ac415-3c54-4887-8c4b-912e23923134" alt=""><figcaption></figcaption></figure>

En el escaneo se encuentra un dominio: permx.htb\
El cual prosigo a agregar al archivo /etc/hosts para poder acceder al mismo<br>

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2Fr8QTCn6LNAf9vXBHOE56%2F%7BEE742878-6D8E-4A39-9244-C7FE359C8346%7D.png?alt=media&#x26;token=df3301e5-0272-4b8b-94e3-e9c1580b262e" alt=""><figcaption></figcaption></figure>

Parece que el sitio web en el puerto 80 es bastante simple y estático, sin elementos interactivos como enlaces, formularios o páginas de inicio de sesión. Incluso al revisar el código fuente no se encuentra nada relevante.&#x20;

Dado que no hay un exploit público para la versión de SSH, tal vez valga la pena profundizar en otras áreas del servidor o intentar identificar vulnerabilidades no evidentes en el sitio.

Comienzo a hacer fuzzing de directorios, reviso los resultados y veo si aparece algo interesante que pueda investigar más a fondo

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2Fe9Cogz6YLvl7upRCQbLw%2F%7B831CCFB9-131B-47CE-815A-857AEAB2463C%7D.png?alt=media&#x26;token=1a035a85-2e23-4984-b590-1a5f3d7e56ce" alt=""><figcaption></figcaption></figure>

No encontre nada relevante por lo que prosegui a realizar fuzzing de subdominios, logrando dar con un resultado posiblemente util.

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2FujOSy4fN29J7KyPLiLb2%2F%7B89979DFC-AD8C-4E00-85D9-A809C480A38C%7D.png?alt=media&#x26;token=2a49c8ef-ed7f-4814-ab49-eb8e8e330f52" alt=""><figcaption></figcaption></figure>

Prosigo a agregar el resultado del fuzzing de subdominios a mi archivo /etc/hosts y repito los pasos realizados con el primer dominio y me encontré con un panel de login.

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2F2DqcIOm3NTc2lMAUMiW7%2F%7BAB449261-6B8E-481F-8AE1-E2B562861C53%7D.png?alt=media&#x26;token=58254dc8-657e-4385-80c8-bd9bf31fc75a" alt=""><figcaption></figcaption></figure>

Mientras dejaba corriendo un fuzzing de directorios en el dominio, me puse a probar diferentes métodos para vulnerar el panel de login.\
Intenté con algunas credenciales predeterminadas, ataques de fuerza bruta e inyecciones SQL, entre otros, pero no tuve éxito con ninguno. \
Decidí entonces revisar nuevamente los resultados del fuzzing

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2FofMAIka1RN4rXmrFzCeX%2F%7B3FD6EF1B-C91B-4DFE-97D1-E64FD712D8F0%7D.png?alt=media&#x26;token=83f218fb-cec8-49f8-aa87-d5e73e4ce8a5" alt=""><figcaption></figcaption></figure>

Uno de los resultado fue el archivo /robots.txt expuesto

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FZoeaIDCLJH6xoyfO7Jnl%2Fimage.png?alt=media&#x26;token=891fd5d3-5cc7-49bb-a8e0-c29ad557997d" alt=""><figcaption></figcaption></figure>

Después de revisar los directorios, en /documentation me encontre con la version de CMS:\
Chamilo 1.11

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FU6YcjPM8kFyDVpLcd5uV%2F%7B8D97B597-194C-477D-B63F-1722D5CB6BBD%7D.png?alt=media&#x26;token=c0b93f6c-4619-4286-b334-393c0fc94054" alt=""><figcaption></figcaption></figure>

Busqué el exploit en Google y encontré un repositorio

![](https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2F076nrShyPQrchR3DuyhW%2F%7BB0A666D3-A58A-4067-9B1D-C5B2B8839CDB%7D.png?alt=media\&token=5b2d801e-50ac-4cd6-8153-bcafd202f552)

![](https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2FtJc1zvzzuWrs6oSL8LZy%2F%7B1C642062-1CF9-42C3-B286-E04148E67B6D%7D.png?alt=media\&token=a730aff5-b719-474c-9a83-b44b51ef0c3d)

![](https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2Fe5QUPcr6SSlSvilu0bW2%2F%7BBE1F6253-D758-41D2-9C8F-DEB03BECB888%7D.png?alt=media\&token=c4322913-4d13-48aa-ba51-fc4f70005851)

Logrando así obtener acceso al usuario www-data.

&#x20;Prosigo a hacer que mi shell sea mas estable&#x20;

script /dev/null -c bash

ctrl +z stty raw -echo; fg&#x20;

reset xterm&#x20;

export TERM=xterm&#x20;

export SHELL=bash

Una vez realizado el tratamiento de la TTY Después de investigar un poco, encontre las credenciales de la base de datos db\_user: chamilo db\_password: 03F6lY3uXAP2bkW8<br>

\
Continue investigando y dentro del directorio /home se ve la existencia del directorio del usuario mtz.

Al intentar acceder me solicita la credencial del usuario, inicialmente probe con el contenido que encontré al inicio del acceso

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2FprVzoMMKTqEmj41iK8aq%2F%7B0FFA9B7E-B90B-4A95-946F-88AF43E3A252%7D.png?alt=media&#x26;token=38700bb2-8162-4a34-b400-6047362621d8" alt=""><figcaption></figcaption></figure>

Pero no tuve exito con esa posible contraseña. Se me ocurrio evaluar la posibilidad de un descuido muy común por parte de los usuarios el cual es la reutilizacion de contraseñas, asi que decidi optar por probar la contraseña encontrada en el archivo configuration.php con el usuario mtz.

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2Fq4km4igrPxH2X4Zn7JVX%2F%7BF2BBE73F-764E-49F5-97D2-960CD5A174B8%7D.png?alt=media&#x26;token=e8ae44e1-d1d5-4a42-8c8c-9a374109ddec" alt=""><figcaption></figcaption></figure>

Logrando asi tener exito y pudiendo entrar al directorio mtz, donde pude encontrar la primer flag, la flag de usuario.

Ahora toca realizar la escalación de privilegios.

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2FhBaqE2NpigSNFy4Vfoj0%2F%7B393B342E-F858-468F-8E09-1E6751C1C91F%7D.png?alt=media&#x26;token=13d0d281-796f-40b4-ac37-7c1621933323" alt=""><figcaption></figcaption></figure>

Intenté verificar qué permisos tenía y vi un archivo en la carpeta /opt, por lo que me puse a ver que hacia el archivo

![](https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2F8Qf48Q7nD4EBjWP5MATK%2F%7BB0D10746-2E07-4DD8-AB66-FC85DAEE49A9%7D.png?alt=media\&token=0304aa8d-3d86-427e-bc55-4fa8dc143d6d)

Es un programa que tiene 3 permisos donde dice que para el usuario **mtz** puede agregar cualquier permiso pero la ruta tiene que ser y el objetivo debe ser un archivo. Pero en mtz no habia nada que pudiese utilzar. Si creamos un **enlace simbólico** con el archivo, podria editarlo desde el directorio mtz.

![](https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2Fqf73KwdFJbyYpeybgufP%2F%7BC3BBB277-5191-4DA5-8711-01ED5E13B069%7D.png?alt=media\&token=5a903cc6-60ce-49b7-bc99-d132f896a55a)

Logrando asi, la escalacion de privilegios y obteniendo la ultima flag del usuario root.![](https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FGgJI6vABEqjRmajpm2qF%2Fuploads%2FXMTOWPydX44zxs52m3uu%2F%7B39D550EF-A95F-48F9-B4EA-EBC4DAE4C577%7D.png?alt=media\&token=7991fcb6-bc79-4ecc-b487-06b640a9281a)<br>