ffuf – sckull

Hack The Box - Timing

📅 Jun 4, 2022 · ✍️ sckull

php lfi ffuf wrapper python wget wgetrc python-ftp time

En Timing encontramos una vulnerabilidad LFI que nos permitió obtener el codigo fuente del sitio web, acceder y escalar privilegios en este, posteriormente acceso por una Web Shell donde encontramos credenciales en un backup del sitio para acceder por SSH. Finalmente escalamos privilegios utilizando el archivo de configuración .wgetrc.

Hack The Box - Shibboleth

📅 Apr 2, 2022 · ✍️ sckull

zabbix ipmi ffuf metasploit mySQL CVE-2021-27928

Shibboleth expone IPMI por donde obtuvimos un hash que nos permitió acceder al panel de Zabbix, en este último logramos ejecutar commandos y acceder a la máquina. Reutilizando una contraseña nos dio acceso a un segundo usuario. Finalmente explotamos una vulnerabilidad en MySQL lo que nos permitió escalar privilegios.