CTF : Quaoar – Episode 2

CTF : Quaoar – Episode 2

Voici le message que nous laisse donc l’auteur avant de télécharger sa VM :

Welcome to Quaoar

This is a vulnerable machine i created for the Hackfest 2016 CTF http://hackfest.ca/

Difficulty : Very Easy

Tips:
Here are the tools you can research to help you to own this machine. nmap dirb / dirbuster / BurpSmartBuster nikto wpscan hydra Your Brain Coffee Google 🙂

Goals: This machine is intended to be doable by someone who is interested in learning computer security There are 3 flags on this machine 1. Get a shell 2. Get root access 3. There is a post exploitation flag on the box

Feedback: This is my first vulnerable machine, please give me feedback on how to improve ! @ViperBlackSkull on Twitter simon.nolet@hotmail.com Special Thanks to madmantm for testing

SHA-256 DA39EC5E9A82B33BA2C0CD2B1F5E8831E75759C51B3A136D3CB5D8126E2A4753

You may have issues with VMware

Quaoar

On commence l’exploration

file://c:\users\admin\appdata\local\temp\tmpoxgj34\1.png
Photo de la VM une fois installée – Je la laisse tranquille et je pars sur Kali

Je cale la vm dans un hosts par souci de facilité

nano /etc/hosts

et je vais démarrer l’exploration en effectuant ces actions en même temps :

Legion

Dirbuster

Exploration manuelle sur le 80 s’il existe + Manipulation d’url

22 – ssh – OpenSSH 5.9p1 5ubuntu1 (Ubuntu Linux; protocol 2.0)

53 – domain – ISC BIN 9.8.1-P1

80 – http – Apache/2.2.22 (Ubuntu) – PHP/5.3.10-1ubuntu3 –

110 – pop3 – Dovecot pop3d

137 – netbios-ns

139 – netbios-ssn

143 – imap – Dovecot imapd – IMAP4rev1

445 – microsoft-ds Samba smbd 3.6.3 domaine : Quaoar.home \\192.168.1.48\print$ C:\var\lib\samba\printers

993 – imaps

995 – pop3s

Ouarf les retours sont … trop nombreux … J’ai horreur de ça, c’est ait exprès pour nous perdre …

Une idée de Dirbuster :

Voilà après 70 résultats moi je stop Dirbuster, ça ne sert à rien, je ne vais de toute façon pas passer 10 ans à tenter chaque page. Je trouverais avant, je l’espère du moins.

Site internet hébergé en : 80 ce qui est logique allons jeter un oeil

Tout un site caché derrière /wordpress/

Bon j’ai testé /wordpress/wp-admin/ avec – admin:admin

C’est passé >_<

Photo des plugins :

Searchsploit annonce deux exploits dont l’injection sql ça peut être une piste pour remonter plus haut, mais je vais continuer d’explorer, j’aime ça explorer.

192.168.1.48/upload/search/index.php il met une plombe à charge – Il charge un css externe qui vient d’une autre ip 192.168.0.190 et ça charge très lentement. (En vrai 0.190 c’est un site d’un CMS tout pourri trèèèèès lent).

Bon en revenant dans la session admin de wordpress, j’ai opté pour le up d’un reverse shell php.

Ce qui me donne un webshell et un netcat.

Après avoir fait un tour d’horizon nous n’avons pas réellement d’accès, le gcc n’est pas utilisable à notre niveau et aucun cron en route où l’on pourrait interférer donc direction le ssh puisque je ne vois pas ce que je pourrais faire de plus ici …

(J’ai testé quelques dirtyCow mais rien n’est passé)

Le password root:rootpassword! est trouvable dans la base Mysql.
Le password WordPress : admin:admin est une déduction/test.

Le wpadmin:wpadmin est déduit/testé aussi …

Bon pour le ssh j’y suis allé au hasard, vu que le pass de wp était root:root et que les pass database sont root:rootpassword! ainsi que wpadmin:wpadmin … … Je tente ces trois là …

Donc après les tests :

wpadmin:wpadmin fonctionne et donne accès aux mêmes droits que nous avions en reverse shell


root:rootpassword! donne les droits que nous voulions.

By Dnl5

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *