domingo, 2 de octubre de 2022

BBS:1 fuzz, dosbox, turbopascal

 

Machine name: BBS (Bulletin Board System)

Level: High

https://www.vulnhub.com/entry/bbs-1,494/

Machine hint: FUZZ!!!


Aunque indica level high todo depende y es como dice a dip in the present and in the past, it requires a transversal competence from today to the mid 80-90s. Skills: developing, networking, GSM Messaging, Linux, X11, some MS-DOS commands


Este es el primer write-up de esta máquina en internet


1. Siguiendo el aviso se trata de fuzzear todo lo posible (hasta que consigamos algo con valor). Uso ffuf. Encontramos seite-3-gross y hay que fuzzear recursivamente mientras vayan saliendo files o directorios. En este caso tenemos un robots.txt que nos regala diversos folders donde ir buscando:

Disallow /show_tab/show_basket/mist/replicate/msxchat/glpi/

El glpi es un rabbit hole. Mirando folder por folder llegamos a 

/seite-3-gross/show_tab/show_basket/mist/replicate/msxchat/robboard/store_backup/viagra2/rest_images

y dentro zusammenarbeit.txt

I don't believe that you could find me, however, the zipped filename is dd0298c24ef96adc03cbabcbc6147868579bbfa9364172d3985a6129897faf23a503fb8d40b9216e7f6a344753f45dbbf4b98cefa1e13b649a577202e3a7545e.zip but I don't remember in which directory I stored.

Please search and use it carefully.

2. Buscamos el zip y está en /seite-3-gross/show_tab/show_basket/mist, usamos john y lo abrimos. Hay una nota.txt

You are always so cryptic, remember that source TPU is the old project you used to encode this message, decode it to remember your password:

AT+CMGS=153

07919333333333F301001391266663665545446666F600009BC834C8FCC6B340E43419947FD741F272BBDC1697E53F10343C9FDFDF7232283D078DDF6DF87B5E2683C479D09B4D06ADCB79F13B2C2783EE693AFA5DA783A8391628EC2683D273101D5D0649CBE3343C5D76D341EE7A5B5C9683DE66101D9D9E83A6CDA942016597C3F33288FC769FE820F35B7E2ED341693A287C0EA7DDA15048A118A2CB65F91C

Decodificamos el pdu:

Number+6266366655544466666
TextHi fox, did you remember? Password is composed by old keyboard without T9, and is the Recipient number of this SMS Please don't forget it again!!! Cheers


Tenemos la clave de fox para entrar en el sistema. Usando https://www.dcode.fr/multitap-abc-cipher salen algunas posibilidades y hay que ir probando, al final damos con la correcta. 

3. El problema es que no tenemos acceso ssh ni via web reverse shell. La clave está en los puertos:

177/udp open  xdmcp   XDMCP

Significa que podemos acceder via xorg

Xephyr -from nuestra.ip -query ip.victima -screen 800x600 :1

Con eso accedemos a la pantalla de login de la máquina víctima. Usamos las credenciales de fox y entramos. Dado que es un shell limitado, podemos iniciar un reverse con nc

4. Tenemos un mbox (mail) de mara

From mara@bbs.htb Sun Apr 12 20:37:06 2020
Return-path: <mara@bbs.htb>
Envelope-to: fox@bbs.htb
Delivery-date: Sun, 12 Apr 2020 20:37:06 +0200
Received: from mara by bbs.htb with local (Exim 4.92)
       (envelope-from <mara@bbs.htb>)
       id 1jNhTe-00062e-I0
       for fox@bbs.htb; Sun, 12 Apr 2020 20:37:06 +0200
To: <fox@bbs.htb>
Subject: I love you
X-Mailer: mail (GNU Mailutils 3.5)
Message-Id: <E1jNhTe-00062e-I0@bbs.htb>
From: mara@bbs.htb
Date: Sun, 12 Apr 2020 20:37:06 +0200


My love, I'll try to communicate with you, but you are always so cryptic... I want to surprise you

your lovely wife, mara

Se trata de mirar en el directorio de mara pero no tenemos los permisos. Mirando suids tenemos mawk con  el que podemos leer archivos protegidos.

-rwsr-sr-x 1 mara paolo 120K Mar 23  2012 /usr/bin/mawk

En el folder de mara no podemos entrar pero sí en el de paolo, donde tenemos otro mbox que leemos con mawk
LFILE=file_to_read
mawk '//' "$LFILE"
From mara@gsm.htb Sun Apr 12 20:26:02 2020
Return-path: <mara@gsm.htb>
Envelope-to: paolo@localhost
Delivery-date: Sun, 12 Apr 2020 20:26:02 +0200
Received: from mara by gsm.htb with local (Exim 4.92)
       (envelope-from <mara@gsm.htb>)
       id 1jNhIw-00060l-Jc; Sun, 12 Apr 2020 20:26:02 +0200
To: <paolo@localhost>
Cc: <paolo@gsm.htb>
Subject: ciao
X-Mailer: mail (GNU Mailutils 3.5)
Message-Id: <E1jNhIw-00060l-Jc@gsm.htb>
From: mara@gsm.htb
Date: Sun, 12 Apr 2020 20:26:02 +0200
X-IMAPbase: 1586715985 3
Status: O
X-UID: 1

I got the access on your account by ssh-copy-id using password "bomboloneconlacremasiciliana", thank you, now you can change your password

   mara

Aquí el bombolone :)




5. entramos en paolo y hay un directorio dosprogs con una nota USER.txt

great, user flag is not here, but I give you a nudge:

remember Paolo, don't inspect these file by hand... run DOSBOX, but only after you allowed the X11 forwarding 

       *fox

Pero dosbox no funciona en paolo aunque sí en fox. Damos permisos a dosprogs para ejecutar dosbox desde paolo, y montamos luego C: como /home/paolo/dosprogs

Tenemos un BBS donde vemos algunos mensajes relevantes y un archivo PASSES.ARJ encriptado. Parece que el acceso a root pasa por desencriptar el arj. Tenemos algunos hints:

Ok I want to give a little hint: search my (SysOp) phone, and try to encode for me an SMS, with the right text, and ask me how to find the way.

Next came back, and you'll have what you'r_e looking for.

Es lo que hace la página de inicio index. Buscamos el SysOp phone que es 00393773060850 y vamos probando mensajes hasta caer en la cuenta que es:

how to find the way

(nos lo estaban diciendo, podemos usar la página index de inicio en el navegador para sacar el pdu)

6. Usamos arj:

arj e -gpdu PASSES.ARJ 

y sacamos CIPHERED.TXT, DECODE.PAS y PASSWORD_encoded.TXT. Del último

ok you reached me, in c:\TP you can find Turbo Pascal, use this source attached to decode the ciphered file.

The password to decode ciphered file is: do you really think that I can give you the pass?

cheers

        *fox

compilamos el pas (podemos hacerlo en nuestra máquina con fpc) y con el decode.exe sacamos la clave de root.

root@bbs:~# cat root.txt
5f423b7772a80f77438407c8b78ff305
root@bbs:~# 


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)