Esta es la solución que corresponder a @BalderramaEric en la cual muestra como realizo la explotación de SickOS con nmap, nikto y escalar privilegios.
Como siempre, comenzamos identificando la máquina a atacar. con nmap -sn y utilizo -oG para guardar el output en un archivo.
Una vez identificado el target procedo a buscar puertos y servicios activos.
Para entender como funciona squid, presente en el puerto 3128 recurrí al sitio
Al acceder a la ip y puerto me mostraba un error
Configure un proxy manual en el browser colocando ip del target y puerto de squid.
Al ingresar a mi localhost visualice el siguiente texto.
Procedí a identificar puertos y servicios con nmap a través del target como proxy
Como resultado obtengo dos puertos más que antes no los había identificado.
Como es un webserver, utilizo nikto a través de proxy para llevar a cabo un análisis automatizado.
Nikto identifica que el target es vulnerable a shellshock
Comprobamos manualmente desde el browser.
Información útil sobre cómo explotar shellshock
Como había estado jugando con w3af me propuse buscar la manera de explotar esta vulnerabilidad con dicha herramienta que no deja de sorprenderme.
https://gist.github.com/andresriancho/1a259f01312c0c5ddd1e
Exploté shellshock con w3af pero no logré obtener una shell desde meterpreter, me guié con el siguiente material.
http://docs.w3af.org/en/latest/advanced-exploitation.html
Entonces decidí explotar manualmente y abrir un socket para poder obtener una reverse shell con netcat.
Una vez que levantamos la shell analizé los directorios y permisos.
En el path /var/www/ identifiqué wolfcms que al analizar sus archivos di con un user y pass.
Luego de intentar por distintos medios ingresar con esas credenciales
Levanté una shell con más prestaciones.
Listé usuarios existentes en el sistema.
Probé escalar privilegios con sickos como user más la pass obtenida en el config del wolfcms.
Luego de buscar un poco obtuve la flag.
Saludos ,
