Hacking Ético

 https://www.vulnhub.com/entry/hackme-2,618/ medium difficulty - Nos encontramos con una pantalla de login y la posibilidad de registrarnos. Lo hacemos y se nos presenta un catálogo de libros donde podemos buscar. Después de probar fuzz parece que lo único viable es fuerza bruta o inyección sql y aquí radica lo interesante como buen ejemplo de ' blind sql injection ' y de que sin saber cómo pueden acceder a nuestro sitio ;) - Lo primero es probar de qué manera es vulnerable. Podría ser en el login, al registrarse o en la búsqueda. Hay que probarlo todo pero es obvio que el campo de búsqueda es el candidato ideal. Sabemos que al buscar en vacío devuelve todo el catálogo, luego vamos a probar una inyección básica: ' or 1=1 -- - Para eso utilizamos mejor Burp y vamos probando hasta que nos devuelva el catálogo, signo de que hemos dado con la inyección correcta. Hay que probarlo todo por si hay algún mecanismo de protección, y así es como llegamos a  '/**/oR/**/'1'=...

 Wup KI: 1 https://www.vulnhub.com/entry/ki-1,641/ - puertos 80 y 22. En 80 un frontend sin mucha historia excepto que en el index aparece este mensaje   <!-- T-56818 Link removed due to bug report. Will remove the debug page later - chris -->   - gobuster y encontramos debug.php , al acceder <!-- T-56819 - added file parameter for easier page navigation with linuxki - chris --> === runki for Linux version 6.0 !!! runki script must be run as root !!! currently logged in with UID 33 - Tenemos así que se le pasa el parámeter file, hay que buscar resultados: sabemos que es un sistema runki https://github.com/HewlettPackard/LinuxKI/releases y que tiene una archivo vulnerable: kivis.php // https://www.exploit-db.com/exploits/48483 al que se accede por la ruta  /linuxki/experimental/vis/kivis.php - probamos la vulnerabilidad pero no funciona, probamos entonces el debug.php /debug.php?file=? buscamos el kivis.php, probamos alternativas y con file=kivis sale. Ve...

HTTPS://WWW.VULNHUB.COM/ENTRY/NEOBANK-1,642/ - solo tenemos abierto el puerto 5000 --> apunta a servidor python flask - fuzzeamos y encontramos: LOGIN,LOGOUT, QR,OTP,WITHDRAW,EMAILS_LIST - parece orientado a bruteforcear el login con alguno de los emails. Dado que la pass es un código otp hablamos de 1000000 de números aunque podemos empezar filtrando el diccionario rockyou para extraer las passwords que sean números de 6 dígitos. Se hace con Burp y sale rápidamente para zeus (hay que hacerlo lentamente y este es el problema, si no se bloquea la máquina). Y hay que analizar sobre todo la cookie en base64. Por longitud sale rápidamente que hemos logueado.  - una vez dentro nos pide factor 2f de autenticación (/otp) pero necesitamos el secreto. Usando /qr obtenemos el código qr que incluye el secreto y generamos el 2f:  python -c 'import pyotp;totp = pyotp.TOTP("secreto");print(totp.now())' - Con eso accedemos a la página withdraw donde parece que está el punto de in...

 https://www.vulnhub.com/entry/kb-vuln-4-final,648/ Nivel: quizá medium (sobre todo por la parte de buffer overflow) - ports: 80,22, la web parece hackeada de por sí (;)) y tiene un  textpattern instalado. Después de probar varias cosas parece que lo único viable es loguear, pero no tenemos las claves - de la página principal sacamos que ha sido un tal machineboy141 que dice que lo busquemos. Usamos sherlock y vamos al github asociado. Miramos varias cosas y parece que el objetivo es KB-DUMP, en cuyo zip hay varias imágenes (parece Mr Robot). Hacemos stego con stegseek y automáticamente saca en 3 imágenes texto oculto del que deducimos que es para loguear en el textpattern. Sabemos que el login tiene que ser admin, luego hacemos ROT47 y encontramos el descifrado (https://www.dcode.fr/cipher-identifier). Para loguear hace falta además actualizar la password: contiene 2020, pero la máquina es de 2021, actualizamos y ya... (ojo a esto que es bastante habitual en usuarios normales...

 https://www.vulnhub.com/entry/wireless-1,669/ - Más fácil de lo que parece - Enumeración 22,80,8080,8000 - En 80 está el apache plano, vamos a 8000 y está un voip. El ssh lo dejamos de momento y puede que no haga falta - El vector de entrada parece el puerto 8000, tiene página de login y el user podemos probarlo con lo que se ve en la página principal, lo que nunca debe hacerse, jinmori @voip.in.  Bruteforceamos con Burp pero no sale nada.  - Miramos más en la web, y el login.js contiene un base64 que oculta un javascript ofuscado var _0xb5c3=["\x6A\x69\x6E\x6D\x6F\x72\x69","\x54\x68\x65\x20\x71\x75\x69\x63\x6B\x20\x62\x72\x6F\x77\x6E\x20\x66\x6F\x78\x20\x6A\x75\x6D\x70\x73\x20\x6F\x76\x65\x72\x20\x74\x68\x65\x20\x6C\x61\x7A\x79\x20\x64\x6F\x67","\x63\x68\x61\x72\x43\x6F\x64\x65\x41\x74","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65"];document.write(_0xb5c3);var u=_0xb5c3[0];var string=_0xb5c3[1];var a=string[_0xb5c3[2]](0);var b=string[_0xb...

Wup de la máquina https://www.vulnhub.com/entry/hacksudo-3,671/  Nivel: principiante!   1- nmap , solo aparece abierto el puerto 80, accedemos y redirecciona a  http://192.168.2.50/create/   interesante el proyecto, pero de momento opaco a lo que buscamos 2- gobuster , u otros, detectamos login.php, generator.php. Con el login podemos bruteforcear pero esto es siempre lo último. Probamos en generator.php. Parece que metemos una cadena y la presenta gráficamente en lo que parece que usa figlet   https://ubunlog.com/figlet-banners-ascii-terminal/  3- figlet se ejecuta en system luego podemos probar si es vulnerable a la entrada. Metemos ';' pero no va, probamos con &: entrada post: '& whoami', y funciona: www-data.  Vamos a explotarlo mirando con ls y lo primero es volcar el login.php: & cat login.php, sacamos las claves del login, entramos y nos dice   you have logged in successfully , 0x Open The Next Door key is...

Tenemos aquí un router "chino" que en principio llama la atención por las 6 antenas que trae. Por el precio sería un router de gama media-alta. Aquí viene una review. Me quedo con la aparente potencia del procesador  Mediatek  MT7621   de 2 núcleos a 880 Mhz y la capacidad de emitir wifi simultáneamente en las bandas de 2.4 y 5 Ghz. Incorpora además -  128 MB  DDR3 RAM - 128 Mb SPI flash - 1 USB 3.0 Funciona bastante bien, pero la interfaz web es demasiado austera y deja muchos parámetros ocultos que lo harían más potente. En concreto trae instalado el Openwrt Barrier Breaker 14.07 pero modificado. Para manipularlo abrimos la carcasa y conectamos por el puerto serial que trae, en este caso de solo 3 pines Rx,Gnd,Tx. No trae JTAG. Para conectar usamos de nuevo un cable prolific  Plugable USB to RS-232 DB9  y un  Serial Port Converter  JY-R2T V1.2 RS232. Al ser una conexión de solo tres pines sin VCC (alimentació...