Hacking Ético

 https://www.vulnhub.com/entry/hackme-2,618/ medium difficulty - Nos encontramos con una pantalla de login y la posibilidad de registrarnos. Lo hacemos y se nos presenta un catálogo de libros donde podemos buscar. Después de probar fuzz parece que lo único viable es fuerza bruta o inyección sql y aquí radica lo interesante como buen ejemplo de ' blind sql injection ' y de que sin saber cómo pueden acceder a nuestro sitio ;) - Lo primero es probar de qué manera es vulnerable. Podría ser en el login, al registrarse o en la búsqueda. Hay que probarlo todo pero es obvio que el campo de búsqueda es el candidato ideal. Sabemos que al buscar en vacío devuelve todo el catálogo, luego vamos a probar una inyección básica: ' or 1=1 -- - Para eso utilizamos mejor Burp y vamos probando hasta que nos devuelva el catálogo, signo de que hemos dado con la inyección correcta. Hay que probarlo todo por si hay algún mecanismo de protección, y así es como llegamos a  '/**/oR/**/'1'=...

 Wup KI: 1 https://www.vulnhub.com/entry/ki-1,641/ - puertos 80 y 22. En 80 un frontend sin mucha historia excepto que en el index aparece este mensaje   <!-- T-56818 Link removed due to bug report. Will remove the debug page later - chris -->   - gobuster y encontramos debug.php , al acceder <!-- T-56819 - added file parameter for easier page navigation with linuxki - chris --> === runki for Linux version 6.0 !!! runki script must be run as root !!! currently logged in with UID 33 - Tenemos así que se le pasa el parámeter file, hay que buscar resultados: sabemos que es un sistema runki https://github.com/HewlettPackard/LinuxKI/releases y que tiene una archivo vulnerable: kivis.php // https://www.exploit-db.com/exploits/48483 al que se accede por la ruta  /linuxki/experimental/vis/kivis.php - probamos la vulnerabilidad pero no funciona, probamos entonces el debug.php /debug.php?file=? buscamos el kivis.php, probamos alternativas y con file=kivis sale. Ve...

HTTPS://WWW.VULNHUB.COM/ENTRY/NEOBANK-1,642/ - solo tenemos abierto el puerto 5000 --> apunta a servidor python flask - fuzzeamos y encontramos: LOGIN,LOGOUT, QR,OTP,WITHDRAW,EMAILS_LIST - parece orientado a bruteforcear el login con alguno de los emails. Dado que la pass es un código otp hablamos de 1000000 de números aunque podemos empezar filtrando el diccionario rockyou para extraer las passwords que sean números de 6 dígitos. Se hace con Burp y sale rápidamente para zeus (hay que hacerlo lentamente y este es el problema, si no se bloquea la máquina). Y hay que analizar sobre todo la cookie en base64. Por longitud sale rápidamente que hemos logueado.  - una vez dentro nos pide factor 2f de autenticación (/otp) pero necesitamos el secreto. Usando /qr obtenemos el código qr que incluye el secreto y generamos el 2f:  python -c 'import pyotp;totp = pyotp.TOTP("secreto");print(totp.now())' - Con eso accedemos a la página withdraw donde parece que está el punto de in...

 https://www.vulnhub.com/entry/kb-vuln-4-final,648/ Nivel: quizá medium (sobre todo por la parte de buffer overflow) - ports: 80,22, la web parece hackeada de por sí (;)) y tiene un  textpattern instalado. Después de probar varias cosas parece que lo único viable es loguear, pero no tenemos las claves - de la página principal sacamos que ha sido un tal machineboy141 que dice que lo busquemos. Usamos sherlock y vamos al github asociado. Miramos varias cosas y parece que el objetivo es KB-DUMP, en cuyo zip hay varias imágenes (parece Mr Robot). Hacemos stego con stegseek y automáticamente saca en 3 imágenes texto oculto del que deducimos que es para loguear en el textpattern. Sabemos que el login tiene que ser admin, luego hacemos ROT47 y encontramos el descifrado (https://www.dcode.fr/cipher-identifier). Para loguear hace falta además actualizar la password: contiene 2020, pero la máquina es de 2021, actualizamos y ya... (ojo a esto que es bastante habitual en usuarios normales...