Search for in Google by Dino

Google Custom Search

lunes, 30 de abril de 2012

Hackademic.RTB1 – (root this box) By Dino


Saludos amig@s Lectores,



Un cordial saludo para todos, y agradecimientos por invertir su tiempo en este espacio de conocimiento y particularmente para mi de Relax
 
http://www.entrepadres.com/

De mis ajetreos laborales y academicos.
http://halteniarazon.blogspot.com/

No soy muy amante de los CTFs ni delos WarGames, tal vez por que no tengo nivel para esa vaina................

De hecho el unico en que he participado es el WARGAME organizado por la gente de LowNoise HG en cabeza de Martin Rubio (@falcon_lownoise) en el evento III EISI (Tercer encuentro Internacional de Seguridad Informatica en la Universidad de Manizales).  





Photo tomada por Jaime Andres Restrepo (Dragon)
Photo tomada por Jaime Andres Restrepo (Dragon)
 

Tuve la fortuna de "rapidamente" ganarmelo, y digo como una "osadia" ganarmelo por que aun que se trataba de jugar en equipo, tuve la fortuna de rapidamente encontrarme 6 de los Flag (banderas) de las 7 disponibles.

Ya q jugabamos en equipo y este fue el equipo ganador:

 
EUIPO GANADOR WARGAME!!!!!
No se, si seria debido a que no queria perderme la charla de Chema Alonso.

Photo tomada por Jaime Andres Restrepo (Dragon)
 
Q al final me la perdi :'(

Lo q les traigo para HOY es el Desarrollo de:
 

 Imagen q me facilito mi amigo@4v4t4r en el Security Zone 2011.

NO SE PIERDAN SECURITY ZONE 2012 Q YA VIENE RELOADDDDD  =O

Superando el anterior................
(del cual sere nuevamente ponente eso es lo de menos xD) conferencistas 2012

http://securityzone.co/conferencistas.html#d7no
Esto se inicia asi:
 

El escenario de la Maquina Virtual de Hackademic.RTB1 – (root this box)


Q viene,  Como diria mi amigo P0p0r0p3 @epsilon77

Psss la Red.......



Bn, como no sabemos la IP del Objetivo militar y vamos a suponer que se encuentra sobre la misma Vlan o segmento de Red. Realizaremos un Mapeo de la Red.
Usando Netdiscover

Hummmm, tenemos IPs en el segmento pero aun no logramos identificar la IP obejtivo. De igual forma cercioremonos con un nmap.
nmap -sP 192.168.1.1-254

Okey tenemos IPs activas pero no el Objetivo :(

Vamos con un sondeo de red con Angryip.
Instalando Angryip

Ya tenemos algo interesante, aunq no sabemos q es!!!
 Woala Objetivo encontrado :)
Cargando el servidor Apache desde herramientas de Angryip
 Ah vaina no tenemos datos suficientes de nuestro Objetivo...

Una vez más Nmap pero ahora un poco mas invasivos:
nmap -sS -sV -O -A -T4 -PN 192.168.1.1-254

Como diria mi amigo el Costeñito Siler:

http://carlosprieto.net/wp-content/uploads/2009/11/316.-Aj%C3%A1.jpg
Si señor YA tenemos mas info relevante :)
OBJETIVO LOCALIZADO CON MAS INFO (L°)?

IP 192.168.1.22 Equipo Hackademic.RBT1

Bien determinado el Objetivo vamos a la Web y como primer paso una miradita al codigo que nos muestra el Sitio.



NADA RELEVANTE......


Jejejejej No mentiras SI hay algo relevante :)

Plugins de Wordpress
Efectivamente WordPress 1.5/2
 Ah!!!! pero Dino!!!! nos gusta mas resultados Graficos por fav...



Hagan uso de Zenmap


192.168.1.22 equipo Hackademic.RTB1


Linux 2.6.9-2.6-27

Pertos 22 y 80 (SSH filtrado, Apache 2.2.15 Linux FEDORA)

La vdda YO quiero mas informacion, vamos con Autoscan.
Mapeando con AUTOSCAN

Okey Okey pero y la Web??? No tengo mas info... q WordPress sera cierto, verifiquemos.
Enumerando con Whatweb
Excelente INFO!!!! :¬)

 Pero verifiquemos es mejor la seguridad q la policia jejejej

enumerando la web con cms-explorer
enumerando la web con cms-explorer

OH bn ya estamos visualizando un vector de ataque n.n

Pero necesitamos determinar que tan vulnerable es, como me encanta Nikto:


Buena Info, los PHP Credits, ya sabes q vas a atacar

Si señor, confirmado WordPress Version 1.5.1



Reporte de Nikto


Y ya podemos estar seguros de cargar el plugin de administracion de WordPress
Plugin wp-login WordPress

Q bn, vamos a solicitar mas informacion de la Web q nos permita determinar q tan vulnerable es el sitio, para esta ocasion haremos uso del maravilloso grendelscan.


Encontramos una buena cantidad de informacion en especial me centrare en la posibilidad de el SQLi
http://192.168.1.22/Hackademic_RTB1/?cat='
Jejeje podria decir q por aqui yaperdieron xD
http://192.168.1.22/Hackademic_RTB1/?cat=1' OR '1'='1

Analizando la informacion resultante nos damos cuenta que la tabla es wp_categories, asi q decidi buscar mas informacion de la tabla en especial su estructura de datos:
Tabla wp_categories

Ahora necesitamos confirmar cuantas columnas tenemos disponibles. Informacion que ya tenemos en la imagen anterior de la estructura.



Al ordenar cinco columnas corroboramos la estructura.


Vamos a jugar con un poco de esto (UNION SELECT).




Identifiquemos cual es el usuario de la Base de Datos "root@localhost"

Identifiquemos la Base de Datos "wordpress"


Identifiquemos la version del CMS "5.1.47"

Identifiquemos el nombre de usuario y host actual de MySQL

Identifiquemos el último valor generado automáticamente que fue insertado en una columna

Identifiquemos  el ID de la conexión

Identifiquemos los usuarios con privilegios FILE_PRIV


Haciendo uso de load_file vamos a cargar archivos de configuracion del sistema como en este caso el /etc/passwd.

Dado el resultado podriamos intentar descifrar los archivos, volcando tambien el shadow y haciendo uso de Jhontheripper. 

Pero me voy a centrare en las vulnerabilidades de "WordPress"

Instalando WPscan

WPscan nos indica que existe un exploit SQLi
Al ejecutar exploit que nos informo WPscan http://www.exploit-db.com/exploit/1059/ no me sirvio, generandome un error en la linea 24. :(


Asi que decidi buscar mas exploits encontrandome nuevamente el 1059.pl y el 1033.pl, decidi probar el segundo.


Generandome nuevamente error en la linea 24  :O  :'(    ¬¬



Asi q esta vez no quise conformarme con el error, y me dirigi a la linea 24 para ver que sucedia!!

Y empezar a probar como nos gusta a algunos xDDD  a pie las cosas....
Okey el archivo index.php existe..
Ahora probemos la sentencia SQLi

Afirmativo volves al problema de SQLi que estabamos tratando inicialmente,


Y decidi buscar informacion de la tabla de usuarios.

E intentemos listar los usuarios de la BD.
 Arreglemos entonces la sentencia para visualizar nuestros usuarios de la BD.


Y Voala!!!! nuestro primer usuario, pero y el hash :/

Para eso necesitaremos de un recurso, y apele a este:


Super YA TENEMOS nuestro primer usuario "NickJames" con pass "admin"


Ahora vamos a abusar un poco del sitio Web :)


Y no me sirvio, ya que su rol realmente no era de administrador del sitio, asi q toco probar con otros usuarios.





Como ven son todos los usuarios.....

Ahora a buscar los Hash de MD5 de MySQL

Intentemos con "JasonKonnors"


Tampoco es Admin :(

Ah vaina!!!  La ultima es la vencida vamos con:




Este pinta mejor ya me muestra todas las opciones, al parecer si es el ADMIN :)


Okey, hasta aqui todo Bn.  Q sigue!!....

Bueno intentemos subir una shell en php en un Post. A buscar una buena shell.

PHP-REVERSE-SHELL.PHP

Por q esta??? Sobra decirlo es php y ademas reverse :)

Veamos.........

MODIFICANDO CON NUESTRAS OPCIONES LA SHELL PHP





Ah vaina esto no funko  ;x





 Jejejej "que no panda el cunico"  xD

Ya se q estoy haciendo mal. Veamos..........

Habilitemos la opcion de subir archivos.



Pero esta vez editaremos uno de los plugins que ya existen y estan funcionando. :P




HUmmmm algo paso :{

Oh bn analizemos que nos dicen aqui:

Excellent vamos a la estructura de directorios de la Web.

Y Voala!!!!


YA TENEMOS SHELL!!!!! Jejejej

Veamos q usuario y privilegios tenemos...


Ok, ahora necesitamos escalar privilegios, manos a la obra.....




LES CUENTO Q PROBE VARIOS EXPLOIT.....

Veamos...........



Sigamos con 17932.c





"NANAI CUCAS "  :/


HUMMMM, No canten VICTORIA o PWNED la verdad no me convencio por que hubo archivos que no me abrio como administrador.


Asi, que la ultima es la vencida.......... XD

Utilice Linux RDS Protocol Local Privilege Escalation.


Exploit 15825.c

 
 








http://dosbit.com

http://www.dantynan.com


Espero sea de su agrado......


Bytes


Dino.


PD: Agradecimientos a: mr.pr0n    Excelente escenario de aprendizaje

                                       @4v4t4r por la Imagen 
                                       @crodallega por animarme a realizarlo

Y en especial a Uds por invertir su tiempo en mi Mundo....


PD: Vamos por RTB2..........