VulnHub - Beelzebub:1 CTF Walkthrough

 

Máquina de nivel fácil, el objetivo es encontrar el root flag (bandera root).

1. Fase de Enumeración y Reconocimiento
Con la herramienta Netdiscover escaneare la red en busca de la máquina objetivo.

Nuestra máquina objetivo tiene la dirección IP 192.168.50.6

Ahora con la herramienta Nmap escaneare la máquina objetivo, para averiguar los servicios y versiones que se están ejecutando.

Descubrimiento de servicios.

Descubrimiento de versiones de servicio.

Ahora con la herramienta dirsearch enumeraré directorios de la máquina objetivo.

Aquí hay archivos interesantes, como, por ejemplo, phpinfo.php, index.html, index.php. analizaré los archivos.

En el archivo index.php encontré algo interesante. Hay un comentario html 'My heart was encrypted, "beelzebub" somehow hacked and decode it.-md5'. Aquí lo que haré es codificar la palabra 'beelzebub' en MD5 y volveré a enumerar archivos.

Encontramos más directorio y al parecer se está ejecutando un Wordpress. confirmemos la información.

Efectivamente se esta ejecutando un Wordpress versión 5.3.6.

Resumiendo, la máquina está ejecutando los siguientes servicios:

Puerto 22 SSH OpenSSH versión 7.6p1.

Puerto 80 http  Apache2 versión 2.4.29.

Además, se está ejecutando Wordpress versión 5.3.6.

2. Fase de Análisis de Vulnerabilidades.

Analizando cada uno de los directorios mostrado en la imagen anterior en la url http://192.168.50.6/d18e1e22becbd915b45e0e655429d487/wp-content/uploads/Talk%20To%20VALAK/ encontré la siguiente página web.

La funcionalidad de esta página es que al ingresar texto en el campo "Your name" y procesarlo modifica la página web agregando un mensaje de saludo.

Analizaré el código de la página web.

Hay un código Javascript que en esencia lo que hace es obtener la url una vez procesado el formulario web si existe la cadena "#name" y la longitud de la cadena es mayor a 6 caracteres, extrae una subcadena comenzado por el 5 carácter y lo agregar al mensaje de saludo.

Ahora como este es código es Javascript intentare de hacer una prueba para comprobar si el código Javascript es vulnerable a la inyección de código, en este caso código Javascript.

Al ejecutar la url mostrada en la imagen anterior el resultado es el siguiente.

Se ejecuto un nuestro código Javascript en este caso la función alert() de Javascript. Por lo tanto, nuestra página web es vulnerable a inyección de código.

Otra vulnerabilidad encontrada es Information disclosure (divulgación de información), el sitio web configura una cookie con información sensible.

Resumiendo, se han descubierto dos vulnerabilidades inyección de código y divulgación de información.

Ahora utilizaré la herramienta wpscan para escanear la página y enumerar a usuarios.

3. Fase de Explotación.

La herramienta enumero dos usuarios krampus y valak. Recordemos que la máquina objetivo está ejecutando el servicio SSH, entonces probaré conectarme a la máquina objetivo a través de SSH con los nombres de usuarios y password descubiertos.

Con el usuario krampus y password M4k3Ad3a1, obtuvimos una conexión SSH.

Analizando los directorios el usuario krampus encontré un archivo llamado user.txt.

Encontramos nuestro primer flags (bandera) del usuario krampus. Analizando la actividad del usuario del archivo .bash_history, al parecer el usuario krampus descargo un exploit.

Ahora veré los privilegios que tiene el usuario krampus.

El usuario no tiene privilegio sudo.

4. Elevar privilegio.

Ahora seguiré los pasos del usuario krampus descrito en el archivo .bash_history.

Descargue el exploit y veré su contenido para saber de qué se trata.

El exploit se utiliza para escalar privilegios en el sistema. Cambiare su nombre lo compilare y lo ejecutare en la máquina objetivo.

Escalamos privilegio ahora somos usuario root.

Encontramos nuestro root flag (bandera root).

Happy Hack!!!