Hacemos un escaneo en la red local para identificar la maquina a vulnerar:
// arp-scan -I ens33 --localnet
192.168.1.137 00:0c:29:f8:22:e0 VMware, Inc.
Asignamos la ip como Target y procedemos a realizar, las respectivas enumeraciones:
Ping para identificar si responde e identificar a que OS nos enfrentamos
// ping -c 1 192.168.1.137 -R
PING 192.168.1.137 (192.168.1.137) 56(124) bytes of data.
64 bytes from 192.168.1.137: icmp_seq=1 ttl=64 time=0.668 ms
Realizamos Nmap para encontrar puertos abietos (puerto 22 y 80 abierto)
// nmap 192.168.1.137 -oG FirstScan
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-21 17:23 EDT
Nmap scan report for 192.168.1.137
Host is up (0.00051s latency).
Not shown: 998 closed tcp ports (reset)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
Identificamos las versiones y utilizamos scripts sobre los puertos abietos
// nmap -sCV -p22,80 192.168.1.137 -oN EscaneoSVC
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-21 17:29 EDT
Nmap scan report for 192.168.1.137
Host is up (0.00058s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 57:b1:f5:64:28:98:91:51:6d:70:76:6e:a5:52:43:5d (RSA)
| 256 cc:64:fd:7c:d8:5e:48:8a:28:98:91:b9:e4:1e:6d:a8 (ECDSA)
|_ 256 9e:77:08:a4:52:9f:33:8d:96:19:ba:75:71:27:bd:60 (ED25519)
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
| http-cookie-flags:
| /:
| PHPSESSID:
|_ httponly flag not set
|_http-title: DarkHole V2
|_http-server-header: Apache/2.4.41 (Ubuntu)
| http-git:
| 192.168.1.137:80/.git/
| Git repository found!
| Repository description: Unnamed repository; edit this file 'description' to name the...
|_ Last commit message: i changed login.php file for more secure
MAC Address: 00:0C:29:F8:22:E0 (VMware)
Exploramos que servicio web que corre en el puerto 80
Intentamos probar vulnareabilidades con SQLI con Burpsuite pero no conseguimos nada, asi que buscamos en el .git que encontramos en los scripts y lo descargamos para buscar que informacion podemos recabar
// wget -r 192.168.1.137
Buscamos en el .php y en el index y no conseguimos nada, pero intentamos ver los commits realizados en el git para conseguir algo de informacion
// ❯ git log
commit 0f1d821f48a9cf662f285457a5ce9af6b9feb2c4 (HEAD -> master)
Author: Jehad Alqurashi <anmar-v7@hotmail.com>
Date: Mon Aug 30 13:14:32 2021 +0300
i changed login.php file for more secure
commit a4d900a8d85e8938d3601f3cef113ee293028e10
Author: Jehad Alqurashi <anmar-v7@hotmail.com>
Date: Mon Aug 30 13:06:20 2021 +0300
I added login.php file with default credentials
commit aa2a5f3aa15bb402f2b90a07d86af57436d64917
Author: Jehad Alqurashi <anmar-v7@hotmail.com>
Date: Mon Aug 30 13:02:44 2021 +0300
Asignaron login.pgp con credenciales default asi que hacemos una busqueda mas extensa
//
❯ git log --oneline
0f1d821 (HEAD -> master) i changed login.php file for more secure
a4d900a I added login.php file with default credentials
aa2a5f3 First Initialize
❯ git show a4d900a
commit a4d900a8d85e8938d3601f3cef113ee293028e10
Author: Jehad Alqurashi <anmar-v7@hotmail.com>
Date: Mon Aug 30 13:06:20 2021 +0300
I added login.php file with default credentials
diff --git a/login.php b/login.php
index e69de29..8a0ff67 100644
--- a/login.php
+++ b/login.php
@@ -0,0 +1,42 @@
+<?php
+session_start();
+require 'config/config.php';
+if($_SERVER['REQUEST_METHOD'] == 'POST'){
+ if($_POST['email'] == "lush@admin.com" && $_POST['password'] == "321"){
+ $_SESSION['userid'] = 1;
+ header("location:dashboard.php");
+ die();
+ }
+
+}
:
Logramos acceder con los datos obtenidos lush@admin.com y 321 de password
Observamos que tiene el campo ID y abrimos Burpsuite para verificar si es vulnerable a SQLI
Vemos que tiene un servicio web corriendo por el puerto 9999 lo que nos permitirá hacer un portforwarding para poder acceder a otro segmento de red, pero en este caso la maquina no lo contempla, dándola por terminada.
