Scribd
Upload
76 views17 pages

CTF GC Security

Prova Prática Red Team GC Security Pentest 173.255.252.241

Uploaded by

seadevilfish
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
76 views17 pages

CTF GC Security

Prova Prática Red Team GC Security Pentest 173.255.252.241

Uploaded by

seadevilfish
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
You are on page 1/ 17

.

Relatório CTF GC Security

Versão 01

Data 15/03/2024

Classificação -
Sumário

Início e primeira flag 2


Segunda flag 7
Terceira flag 8
Quarta flag 9
Quinta flag 11
Sexta flag? 12
O teste se inicia, um único endereço ip foi informado 173.255.252.241.

Início e primeira flag


Começo fazendo um escaneamento de portas. Em aplicações web, isso é especialmente útil
para revelar o banco de dados que está sendo utilizado.

Três serviços são identificados na máquina alvo pelo nmap, http, mysql e ssh.
Aproveito para buscar por informações adicionais e possíveis vulnerabilidades que possam ser
verificadas pelos scripts ainda do nmap.

No output já podemos ver alguns diretórios e arquivos interessantes da aplicação


O nikto não trás nenhuma informação adicional relevante, então ao final dos scans os diretórios
e arquivos encontrados foram:

/admin/
/admin/index.php
/admin/login.php
/admin/login.html
/phpmyadmin/
/javascript/
/icons/
Acessando o servidor web que está rodando na porta 80, uma mensagem é exibida sugerindo
que o acesso público da aplicação ainda não está disponível. Contudo já sabemos alguns
endereços e fazendo a descoberta de conteúdo via Intruder do Burp Suite nada novo é
descoberto.
Acessando http://173.255.252.241/admin/ nos deparamos com a primeira flag:

036c3e276dc5fca43eeec0826ffd4b51
Segunda flag
A flag indica que o caminho está correto. Analisando o login, descubro que está vulnerável a
injeção de SQL.

Submetendo o seguinte payload malicioso x’ or 1=1;# no login, conseguimos burlar a lógica da


query de login da aplicação e acessar a segunda flag:

7f87d321db1b850952050329d91bf00c
Terceira flag
Continuando a exploração do SQL injection, agora com o SQLmap para facilitar a extração de
informações.

Na database cadastro, tabela usuarios se encontra a terceira flag e uma série de outros
usuários.

5d7319133f89e15cdbc5e486095d5bac
Quarta flag
Uma boa tática para intrusão em sistemas é retestar as senhas coletadas em serviços
adicionais. Para isso o Burp foi usado para descobrir qual palavra gerava a hash do usuário
usuario01.

usuario01:dexter

Ferramenta que criei para acelerar o processo de força bruta.


https://gist.github.com/and0x00/ed6742c70711d0169c4db29fc1af8cb7
Esse usuário então é testado no serviço de SSH usando o hydra. E agora um acesso ao shell
foi obtido.

Acessando o diretório / do servidor, o arquivo anômalo token.txt é encontrado e no seu


conteúdo a quarta flag.

83d1ba559b38cc40dc51789e1edfe9cd
Quinta flag
Ainda examinando os arquivos da máquina, no diretório onde ficam os arquivos carregados
pelo servidor web, a quinta flag pode ser encontrada em login.bak.

722824f372867277676abc1788a17f8c
Sexta flag?
Inicialmente garanto que mais nenhum token pode ser acessado pelo usuário capturado.

Uma vez dentro da máquina alvo, gerei uma wordlist com tudo que pudesse ser uma credencial
do que tinha sido acessado.

239i4rujfkcdowijdemenqwjfik3ec
segredo2020pass!!
f3f2
segredo
testesegredo
dexter
batata
toor
706b6f616a1914111c4011131c411511144641101c1c4213404011101110111d1214141017461f
0b464d4a0b535042

As senhas foram testadas no usuário root via força bruta no ssh e mysql, contudo a senha não
pode ser recuperada por esse método.
Provavelmente as outras flags só estão acessíveis por um acesso à máquina ou alguma
aplicação com um usuário mais privilegiado.
Após a etapa de enumeração manual, inicio alguns testes automatizados que acusam alguns
possíveis cve’s.
Tentei explorar essas vulnerabilidades mas não tive sucesso.

cve-2021-3156 https://github.com/worawit/CV Requisitos não são


E-2021-3156/blob/main/explo atendidos. glibc >= 2.26
it_nss.py

cve-2021-4034 https://github.com/berdav/CV Usuário deve estar no


E-2021-4034 arquivo sudoers.

cve-2023-22809 https://github.com/n3m1sys/C Usuário deve estar no


VE-2023-22809-sudoedit-priv arquivo sudoers.
esc/blob/main/exploit.sh
Outro teste foi a análise do token em /token.txt. O token estava em base64 e sua decodificação
resultou em outra string com características de estar em hexadecimal (letras somente de a-f).

NzA2YjZmNjE2YTE5MTQxMTFjNDAxMTEzMWM0MTE1MTExNDQ2NDExMDFjMWM0MjEz
NDA0MDExMTAxMTEwMTExZDEyMTQxNDEwMTc0NjFmMGI0NjRkNGEwYjUzNTA0Mg==

Decode
706b6f616a1914111c4011131c411511144641101c1c4213404011101110111d1214141017461f
0b464d4a0b535042

Decode
pkoaj@AFAB@@F
FMJ
SPB

Testei variações dessa string, porém sem sucesso.

Outros serviços e exploits que cheguei a analisar no processo de pós exploração.

MySQL 5.7.27 https://www.exploit-db.com/exploits/40679


https://www.exploit-db.com/exploits/40678

PHP 7.0.33 https://www.exploit-db.com/exploits/47462

phpmyadmin 4.5.4 -

apache 2.4.18 https://www.exploit-db.com/exploits/42745

Técnicas de escalação testadas:

Reutilização de senhas Exploração sem sucesso

Exploits, aplicações ou kernel Exploração sem sucesso

sudo LD_PRELOAD,suid Exploração sem sucesso

Cron Jobs Exploração sem sucesso

PATH Exploração sem sucesso

NFS Exploração sem sucesso

Capabilities Exploração sem sucesso

Wildcard injection Exploração sem sucesso

You might also like

pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy