\   /\          __    _____        _____     _____ _ _____
)  ( ')        |  |  |  _  |   ___|  _  |___|  |  |_|_   _|___
(  /  )        |  |__|     |  |  _|     |_ -|     | | | | | .'| 
 \(__)|        |_____|__|__|  |___|__|__|___|__|__|_| |_| |__,|

 
 Buscando alguna VM chula y facilita para entretenerme un rato 
he encontrado QUAOAR en vulnhub que se puede encontrar en
el siguiente enlace: https://www.vulnhub.com/entry/hackfest2016-quaoar,180/
Una vez arrancada la VM de Kali y la VM de QUAOAR, lo primero
que aparece en la VM es lo siguiente:

Smiley face

Asi que no hace falta que busque la IP que tiene la VM a
atacar, ya que nos la da.
Empiezo haciendo un nmap con el comando:

nmap -A -p- 192.168.44.133
Y nos muestra lo siguiente: Smiley face Smiley face Se puede ver todos los puertos que tiene abiertos, pero sin ahondar mucho, me voy a centrar por ahora en la Web. Para ello pongo en mi navegador la IP de la VM (Victima) y vemos que sale lo siguiente: Smiley face Por ahora nada interesante... Sin embargo revisando el robots.txt encuentro esto: Smiley face Vale, es un Wordpress, asi que el siguiente paso es ver si esta el formulario para loguarme como admin... Visito /wp-admin y aparece: Smiley face Por probar pruebo admin/admin y si... tiene los credenciales por defecto :) Sabiendo los credenciales es momento de usar Metasploit y el modulo wp_admin_shell_upload. Smiley face Lo configuro poniendo la IP de nuestra Victima, el user/pass y a probar... Perfecto, ya tengo una shell. Smiley face Vale, dentro de la shell hago spawn de bash con el comando:
python -c 'import pty; pty.spawn("/bin/bash")'
Y lo tengo: Smiley face Una vez estoy dentro lo primero que hago es ver el fichero /etc/passwd para ver si me encuentro algo interesante, y en este caso veo que hay un usuario llamado wpadmin. Smiley face Visto que el Wordpress tenia la password por defecto, trato de conectarme por ssh hacia la victima y probar con el password wpadmin (el mismo que tiene como login) y si, funciona :) Smiley face En el directorio de wpadmin hay una flag, asi que vamos a verla: Smiley face Despues de darme un paseo por el sistema me he encontrado el fichero config.php en la carpeta /var/www/upload, el cual si editamos se puede ver que password de root tiene la BBDD... Smiley face Asi que como era previsible, si usamos esa password para obtener root, si .. la tenemos! esa es la password de root! Smiley face Y con esto el sistema ya es nuestro!