MINU_1 VulnHub

Escaneo de puertos

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>
nmap -sCV -p<PORTS> <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-14 11:51 EDT
Nmap scan report for 192.168.5.187
Host is up (0.00032s latency).

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.27
|_http-server-header: Apache/2.4.27 (Ubuntu)
|_http-title: 403 Forbidden
MAC Address: 00:0C:29:55:1B:04 (VMware)
Service Info: Host: 127.0.1.1

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.66 seconds

dirb

Info:

Nos descubre un .php interesante, si nos metemos dentro del el...

Veremos una web poco rellena, pero si le damos al boton llamado Read last visitor data vemos que la URL cambia a un parametro el cual esta leyendo a last.html quedando de la siguiente manera...

Y vemos que el contenido se visualiza en la cabezera de la pagina, por lo que intentaremos hacer un LFI (Local File Inclusion)...

Vamos hacer fuerza bruta...

wfuzz

En mi caso cuando tiro el siguiente comando para ver si es vulnerable o no, me parecen muchas coincidencias, por lo que filtraremos por los numeros que se repiten mas, que seria en el parametro de Lineas, por lo que nos lo guardaremos en un archivo...

Y ahora con grep grepeamos los numeros que no sean 40 y 11 que son los que mas se repiten...

Info:

Con esto vemos que con los comandos | id y | dir podemos ejecutar comandos para ver el id o listar, por lo que sabemos que si es inyectable utilizando pipes...

Si hacemos por ejemplo esto...

Info:

Por lo que veremos que ciertamente es vulnerable...

Si hacemos lo siguiente...

Info:

Vemos que tiene un FireWall protegiendo por detras estas inyecciones de codigos, por lo que haremos lo siguiente...

URL = https://www.secjuice.com/web-application-firewall-waf-evasion/

En ese articulo te viene la clave para Bypassear estas cosas...

Si hacemos eso podremos ver el passwd...

Tambien se puede hacer de esta manera...

Por lo que si estamos a la escucha y hacemos lo siguiente...

Y ejecutamos eso estando a la escucha tendremos una shell con el usuario www-data bypasseando las medidas de seguridad...

Sanitizamos la shell...

Si nos vamos a la /home de l usuario bob veremos un archivo llamado ._pw_ que si lo leemos dice lo siguiente...

Y si identificamos que algoritmo es en Hash Identifaller...

Por lo que lo decodificamos y quedaria algo tal que asi...

Utilizaremos mejor una herramienta...

Con esto hara fuerza bruta hasta sacar la contraseña, despues de un rato aparecio la contraseña...

Y con esta contraseña si hacemos...

Sera la contraseña de root, por lo que leeremos la flag...

flag.txt (flag_final)

PreviousMasashi VulnHubNextMomentum VulnHub

Last updated