Walkthrough Minotaur por @Gabdotsh

No Comments
Esta entrada que es la segunda que se resuelve un CTF una Maquina vulnerable en el blog viene de la mano de @Gabdotsh el cual nos comparte una manera de resolver Minotaur

Les recomiendo si desean aprender que bajen la maquina y pongan en marcha la resolución del mismo o en su defecto busquen otra manera de explotarlo.

Escaneo de la red

Como primera medida realice un NMAP para analizar el segmento 0/24 de la ip que venia por default en la VM

root@kali:~# nmap 192.168.56.0/24 -T5 -sV

BRUTE FORCE 

Teniendo ya los servicios que corrian en la VM me concentré en el webserver. Al entrar a HTTP://192.168.56.223 desde el browser se ve la web default de apache, lo que me llevo a tirar un wfuzz con el diccionario BIG.txt y voilá.



Entré al resultado que arrojo WFUZZ HTTP://192.168.56.223/bull el cual tiene en su pie de página la frase “Proudly powered by WordPress”, entrando al único post que tiene podemos descubrir que el user es bully.
 Teniendo esta informacion luego realize un WFUZZ del diccionario admin-panels para ver que encontraba.



Una de las pistas era que habia que realizar un diccionario personalizado lo cual hice con la herramienta cewl sobre la we.

cewl -m 6 http://192.168.56.223/bull/ -w words.txt –v

Con el diccionario de cewl generamos otro con john --rules para realizar la entrada por BF.

john --wordlist=words.txt --rules --stdout > words-john.txt

Luego queda hacer el BRUTE FORCE con HYDRA y esperar tener algo de suerte.



Exploit

Para esta fase utilizé la herramienta WPSCAN para buscar vulnerabilidades que rapidamente encontré.

- Release date: 2014-08-28
- Discovered by: Jesus Ramirez Pichardo
- CVE: 2014-5460

root@kali:~/Desktop# wpscan –u 192.168.56.223/bull



PHP SHELL


Bien, ya tenemos las credenciales y la vuln para implantar la shell!

root@kali:~/Desktop# python 34681.py -t http://192.168.56.223/bull -u bully -p Bighornedbulls -f c100.php

Una vez que fue correctamente implantada la utilizamos entrando al link que nos arrojo el exploit, revisando un poco los archivos encontre lo siguiente:

1° FLAG [/var/www/html/]



2° FLAG [/tmp]

Dentro de /tmp/ podemos encontrar un flag.txt y un archivo shadow.bak que me descargo para analizarlo más tarde.

Veremos que tiene el shadow.bak.

 
Desciframos con John shadow.bak

SSH LOG


Con todos los datos que ya obtuvimos llego la hora del log, primero con Heffer que tenía un flag.txt.


Luego tocaba el turno de la acc MINOTAUR que nos arrojo la siguiente flag.txt.


ROOT FLAG


Aporte realizado por @Gabdotsh

0 comentarios

Publicar un comentario