Saludos amig@s Lectores,
Un cordial saludo para todos, y agradecimientos por invertir su tiempo en este espacio de conocimiento y particularmente para mi de Relax
http://www.entrepadres.com/ |
De mis ajetreos laborales y academicos.
http://halteniarazon.blogspot.com/ |
No soy muy amante de los CTFs ni delos WarGames, tal vez por que no tengo nivel para esa vaina................
De hecho el unico en que he participado es el WARGAME organizado por la gente de LowNoise HG en cabeza de Martin Rubio (@falcon_lownoise) en el evento III EISI (Tercer encuentro Internacional de Seguridad Informatica en la Universidad de Manizales).
Photo tomada por Jaime Andres Restrepo (Dragon) |
Photo tomada por Jaime Andres Restrepo (Dragon) |
Tuve la fortuna de "rapidamente" ganarmelo, y digo como una "osadia" ganarmelo por que aun que se trataba de jugar en equipo, tuve la fortuna de rapidamente encontrarme 6 de los Flag (banderas) de las 7 disponibles.
Ya q jugabamos en equipo y este fue el equipo ganador:
EUIPO GANADOR WARGAME!!!!! |
No se, si seria debido a que no queria perderme la charla de Chema Alonso.
Photo tomada por Jaime Andres Restrepo (Dragon) |
Lo q les traigo para HOY es el Desarrollo de:
Imagen q me facilito mi amigo@4v4t4r en el Security Zone 2011.
NO SE PIERDAN SECURITY ZONE 2012 Q YA VIENE RELOADDDDD =O
Superando el anterior................
http://securityzone.co/conferencistas.html#d7no |
El escenario de la Maquina Virtual de Hackademic.RTB1 – (root this box)
Q viene, Como diria mi amigo P0p0r0p3 @epsilon77
Psss la Red.......
Bn, como no sabemos la IP del Objetivo militar y vamos a suponer que se encuentra sobre la misma Vlan o segmento de Red. Realizaremos un Mapeo de la Red.
Usando Netdiscover |
Hummmm, tenemos IPs en el segmento pero aun no logramos identificar la IP obejtivo. De igual forma cercioremonos con un nmap.
nmap -sP 192.168.1.1-254 |
Vamos con un sondeo de red con Angryip.
Instalando Angryip |
Ya tenemos algo interesante, aunq no sabemos q es!!! |
Cargando el servidor Apache desde herramientas de Angryip |
Ah vaina no tenemos datos suficientes de nuestro Objetivo...
Una vez más Nmap pero ahora un poco mas invasivos:
nmap -sS -sV -O -A -T4 -PN 192.168.1.1-254 |
Como diria mi amigo el Costeñito Siler:
http://carlosprieto.net/wp-content/uploads/2009/11/316.-Aj%C3%A1.jpg |
OBJETIVO LOCALIZADO CON MAS INFO (L°)? |
IP 192.168.1.22 Equipo Hackademic.RBT1 |
Bien determinado el Objetivo vamos a la Web y como primer paso una miradita al codigo que nos muestra el Sitio.
NADA RELEVANTE...... |
Jejejejej No mentiras SI hay algo relevante :)
Plugins de Wordpress |
Efectivamente WordPress 1.5/2 |
Hagan uso de Zenmap |
192.168.1.22 equipo Hackademic.RTB1 |
Linux 2.6.9-2.6-27 |
Pertos 22 y 80 (SSH filtrado, Apache 2.2.15 Linux FEDORA) |
Mapeando con AUTOSCAN |
Enumerando con Whatweb |
Excelente INFO!!!! :¬) |
enumerando la web con cms-explorer |
enumerando la web con cms-explorer |
Pero necesitamos determinar que tan vulnerable es, como me encanta Nikto:
Buena Info, los PHP Credits, ya sabes q vas a atacar |
Si señor, confirmado WordPress Version 1.5.1 |
Reporte de Nikto |
Plugin wp-login WordPress |
Q bn, vamos a solicitar mas informacion de la Web q nos permita determinar q tan vulnerable es el sitio, para esta ocasion haremos uso del maravilloso grendelscan.
Encontramos una buena cantidad de informacion en especial me centrare en la posibilidad de el SQLi
http://192.168.1.22/Hackademic_RTB1/?cat=' |
http://192.168.1.22/Hackademic_RTB1/?cat=1' OR '1'='1 |
Analizando la informacion resultante nos damos cuenta que la tabla es wp_categories, asi q decidi buscar mas informacion de la tabla en especial su estructura de datos:
Tabla wp_categories |
Ahora necesitamos confirmar cuantas columnas tenemos disponibles. Informacion que ya tenemos en la imagen anterior de la estructura.
Al ordenar cinco columnas corroboramos la estructura.
Vamos a jugar con un poco de esto (UNION SELECT).
Identifiquemos cual es el usuario de la Base de Datos "root@localhost" |
Identifiquemos la Base de Datos "wordpress" |
Identifiquemos la version del CMS "5.1.47" |
Identifiquemos el nombre de usuario y host actual de MySQL |
Identifiquemos el último valor generado automáticamente que fue insertado en una columna |
Identifiquemos el ID de la conexión |
Identifiquemos los usuarios con privilegios FILE_PRIV |
Haciendo uso de load_file vamos a cargar archivos de configuracion del sistema como en este caso el /etc/passwd.
Dado el resultado podriamos intentar descifrar los archivos, volcando tambien el shadow y haciendo uso de Jhontheripper.
Pero me voy a centrare en las vulnerabilidades de "WordPress"
Instalando WPscan
WPscan nos indica que existe un exploit SQLi |
Asi que decidi buscar mas exploits encontrandome nuevamente el 1059.pl y el 1033.pl, decidi probar el segundo.
Generandome nuevamente error en la linea 24 :O :'( ¬¬
Asi q esta vez no quise conformarme con el error, y me dirigi a la linea 24 para ver que sucedia!!
Y empezar a probar como nos gusta a algunos xDDD a pie las cosas....
Okey el archivo index.php existe.. |
Afirmativo volves al problema de SQLi que estabamos tratando inicialmente,
Y decidi buscar informacion de la tabla de usuarios.
E intentemos listar los usuarios de la BD.
Arreglemos entonces la sentencia para visualizar nuestros usuarios de la BD.
Y Voala!!!! nuestro primer usuario, pero y el hash :/
Para eso necesitaremos de un recurso, y apele a este:
Super YA TENEMOS nuestro primer usuario "NickJames" con pass "admin"
Ahora vamos a abusar un poco del sitio Web :)
Y no me sirvio, ya que su rol realmente no era de administrador del sitio, asi q toco probar con otros usuarios.
Como ven son todos los usuarios.....
Ahora a buscar los Hash de MD5 de MySQL
Intentemos con "JasonKonnors"
Tampoco es Admin :(
Ah vaina!!! La ultima es la vencida vamos con:
Este pinta mejor ya me muestra todas las opciones, al parecer si es el ADMIN :)
Okey, hasta aqui todo Bn. Q sigue!!....
Bueno intentemos subir una shell en php en un Post. A buscar una buena shell.
PHP-REVERSE-SHELL.PHP |
Por q esta??? Sobra decirlo es php y ademas reverse :)
Veamos.........
MODIFICANDO CON NUESTRAS OPCIONES LA SHELL PHP |
Ah vaina esto no funko ;x
Jejejej "que no panda el cunico" xD
Ya se q estoy haciendo mal. Veamos..........
Habilitemos la opcion de subir archivos.
Pero esta vez editaremos uno de los plugins que ya existen y estan funcionando. :P
HUmmmm algo paso :{
Oh bn analizemos que nos dicen aqui:
Excellent vamos a la estructura de directorios de la Web.
Y Voala!!!!
YA TENEMOS SHELL!!!!! Jejejej
Veamos q usuario y privilegios tenemos...
Ok, ahora necesitamos escalar privilegios, manos a la obra.....
LES CUENTO Q PROBE VARIOS EXPLOIT.....
Veamos...........
Sigamos con 17932.c
"NANAI CUCAS " :/
HUMMMM, No canten VICTORIA o PWNED la verdad no me convencio por que hubo archivos que no me abrio como administrador.
Asi, que la ultima es la vencida.......... XD
Utilice Linux RDS Protocol Local Privilege Escalation.
Exploit 15825.c
http://dosbit.com |
http://www.dantynan.com |
Espero sea de su agrado......
Bytes
Dino.
PD: Agradecimientos a: mr.pr0n Excelente escenario de aprendizaje
@4v4t4r por la Imagen
@crodallega por animarme a realizarlo
Y en especial a Uds por invertir su tiempo en mi Mundo....
PD: Vamos por RTB2..........