Mr. Robot.
Fase 2. En busca de la key 2.
Durante la fase investigación de código fuente en el archivo http://192.168.1.84/js/main-acba06a5.js.pagespeed.jm.YdSb2z1rih.js pude detectar en el código fuente algo que me sonaba y que parecía el menú que presentaba la shell interactiva que sale cuando entras en la url de la web.
En el fragmento de código podemos apreciar que existe un comando anterior al comando “prepare” que en la lista de opciones que muestra la shell interactiva no muestra así que retomo la web y utilizo el comando “420” y sorpresa, aparece una nueva imagen que no estaba disponible desde el menu inicial. Una vez revisada no veo nada que pueda aportar nuevas pistas para localizar la key 2.
Siguiente opción, tratar de acceder a la página de login de wordpress para intentar averiguar el posible usuario y password para acceder a la administración de la web. Empiezo a probar lo típico, admin, Admin, etc… y claro está como no intentar probar nombres relacionados con Mr. Robot y al probar elliot ohhhh, la ayuda que nos ofrece WP cuando pones un usuario correcto y que indica que la contraseña no es correcta nos valida que el usuario utilizado es correcto pero la contraseña no así que un nuevo frente se nos abre.
Siguiente paso, tenemos un nombre “elliot” y tenemos un diccionario “fsocity.dic” pues claro y en botella como no intentar averiguar si tienen algo que ver así que me dispongo a utilizar el scanner wpscan así que desde la terminal de kali lanzamos wpscan.
Y después de nada más y nada menos que de irme a dormir que ya era tarde y dejar el escaneo en marcha y despertar SORPRESA !!! wpscan a dado su fruto y nos muestra un password válido en el diccionario para entrar en la página de administración de wordpress.
Ahora que disponemos del usuario y password para entrar en la administración del wordpress vamos allá. Probamos las claves de acceso y EUREKA !! entramos así que ahora que estamos dentro veamos que podemos encontrar así que ahora toca hurgar un poco por el entorno.
Después de un rato investigando, no veo nada que me aporte así que trataré de subir una shell para intentar acceder a la MV. Busco un poco por la red y localizo una shell que me puede funcionar así que me baso en el tema activo en la plataforma web y me voy directamente a modificar la page.php donde le coloco la shell una vez modificada la ip por la máquina atacante ( mi Kali ) y un puerto, en este caso el 1234 por probar uno.
Utilizo el editor que me ofrece wordpress para modificar la page.php del theme activo para incrustar la shell modificada.
Guardo la modificación y la pongo en producción ( Publicar ). Abro una terminal de mi Kali y me pongo a escuchar en el puerto 1234 que coincide con el de la shell subida a wordpress así que ejecuto netcat : nc -nvlp 1234 y desde el navegador de la Kali me dispongo a abrir la página para que la shell se ejecute.
Mi primera pega surge por mi desconocimiento en la estructura de directorios de wordpress, así que tengo que hacer un poco de investigación para ver en base a al theme que está activo ( twentyfifteen ) como accedo para abrir la pagina page.php. Después de averiguar localizo la url correcta así que la pongo en el navegador : "http://192.168.1.84/wp-content/themes/twentyfifteen/page.php" y en la terminal donde esta a la escucha netcat se ejecuta la shell y se queda a nuestra disposición para seguir investigando.
Realizamos un simple ls para ver que hay y vemos dos archivos : key-2-of-3.txt y password.raw-md5. También aprovecho para pegarle un vistazo al archivo /etc/passwd. Me lanzo directamente por ver que hay en en archivo key-2-of-3.txt con: cat key-2-of-3.txt y Ohhh!!! no tenemos permisos lamentablemente. Probamos con el archivo password.raw-md5 probamos con : cat password.raw-md5 y EUREKA !!! vemos un hash : c3fcd3d76192e4007dfb496cca67e13b veamos si podemos pasarlo por algún decrypter para ver si nos aporta una clave en claro.</span>
Me voy a una de mis favoritas hashkiller.co.uk y prueba a ver si podemos descubrir la clave y Sorpresa !!! ahí está en texto claro : abcdefghijklmnopqrstuvwxyz
Busco como puedo obtener una terminal y encuentro una opción ejecutando un script en python así que lo ejecuto y obtengo una terminal bash. Así que desde la terminal con la que hemos conseguido la shell ejecuto el script : $ python -c 'import pty; pty.spawn("/bin/bash")
Ahora toca probar si podemos logearnos con el usuario robot que hemos podido detectar en el fichero /etc/passwd, así que desde la terminal ejecutamos : su - robot nos pide el password : abcdefghijklmnopqrstuvwxyz y BINGO !! ahí estamos.
Probamos ahora ver si tenemos permisos para poder ver el archivo key-2-of-3.txt asi que : cat key-2-of-3.txt y Ahí está !! la key 2 conseguida.
cat key-2-of-3.txt
822c73956184f694993bede3eb39f959
Hasta la próxima y Happy Hacking.
gr33nc0l1bry
Acceder a Fase 1 | Acceder a Fase 3
