Enumeración

Nmap

Nikto (Puerto 80)

Nikto (Puerto 8008)

Investigación

Accedo al servidor web del puerto 80 “http://10.0.1.134/”.

En el código fuente de la web hay varias líneas comentadas sobre una conversación entre “Nick” y “Richard” en la que indican un link de Youtube que muestra el nombre de la ruta actual del blog.
https://www.youtube.com/watch?v=VUxOd4CszJ8

Según se ve, la ruta debe ser: http://10.0.1.134/prehistoricforest/

Nikto sobre el puerto 80 ya me reporta la primera bandera con el texto “This is the first of five flags in the Callhan Auto server. You’ll need them all to unlock the final treasure and fully consider the VM pwned! Flag data: B34rcl4ws”.

Ahora voy a listar los usuarios que se encuentren y tratar de conseguir la contraseña de alguno de ellos.

WPScan

Por tanto, tengo el usuario “tommy, richard, tom y michelle”.

Ahora tengo acceso con el usuario “tom” y la contraseña “tomtom1”.

Según entro en el panel de administración de WordPress encuentro un artículo en la papelera llamado “My ess ess eigh password” con el contenido: “Ok so Nick always yells at me for forgetting the second part of my “ess ess eight (ache? H?) password so I’m writing it here:

1938!!

Nick, if you’re reading this, I DON’T CARE IF I”M USING THIS THING AS A PASSWORD VAULT. YOU TOOK AWAY MY STICKIES SO I”LL PUT MY PASSWORDS ANY DANG PLACE I WANT.

Ahora tengo una segunda parte de una contraseña.

Tras entrar en mensajes, veo un mensaje de “Michelle” con el texto: Well put boss
Flag #2: thisisthesecondflagyayyou.txt”. Accedo al link “http://10.0.1.134/prehistoricforest/thisisthesecondflagyayyou.txt” y obtengo el texto:

Otro mensaje indica:

Hey numbnuts, look at the /richard folder on this server. I’m sure that picture will jog your memory.
Since you have a small brain: see up top in the address bar thingy? Erase “/prehistoricforest” and put “/richard” there instead.

Descargo la imagen adjunta en dicha ruta y exporto las palabras contenidas en la imagen, entre las cuales, hay lo que parece un hash “ce154b5a8e59c89732bc25d6a2e6b90b”. Compruebo si lo reconoce como hash.

Ahora tengo la contraseña “spanky” y con ella acceso al post protegido. En el, pone que hay una copia llamada “callahanbak.bak” y que tan solo hay que renombrar el archivo a “index.html” y todo estará en orden.

También indica que para restaurarlo, hay que hacerlo desde el usuario de Big Tom el cual no tiene un nombre comun.

Además, indica que se puede obtener más información en la carpeta de inicio de Richard al cual se puede acceder mediante FTP el cual está en un puerto “raro” y que el servidor está 15 minutos activo y otros 15 inactivo constantemente. El usuario para el FTP, indica que es “nickburns” con una contraseña “sencilla” por tanto, probaré con “nickburns” como contraseña también y sino habrá que crackearla.

Primero, voy a localizar el puerto FTP.

Tengo el puerto FTP 65534. Ahora, a conseguir la contraseña!.

Dentro del servidor FTP hay un archivo llamado “readme.txt” con el contenido:

Ahora tengo que localizar la carpeta NickIzL33t.

En al URL: http://10.0.1.134:8008/NickIzL33t

Al acceder, me encuentro un mensaje diciendo que solo Steve Jobs y el pueden acceder.

Por lo que, si Steve Jobs puede acceder, puede que tenga que ver con Apple… Voy a buscar el User-Agent del navegador Safari del iPhone y cambiarlo desde BURP.

Una vez accedo a ella, me indica que debo encontrar el nombre exacto del .html para continuar…

Hago una búsqueda de archivos con Dirbuster y localizo 4 archivos distintos:

Uno de los archivos, es una pista “hint.txt”:

La tercera bandera:

Y el archivo de contraseñas comprimido y protegido “t0msp4ssw0rdz.zip”.

Por lo tanto, voy a generar un diccionario con el patrón indicado, convertir el archivo zip a formato John the Ripper y tratar de crackearlo.

Bien, ahora ya tengo la contraseña “bevH00tr$1995” para el archivo .zip!

Ahora se que los datos para “Callahan Auto Server” son los indicados más el año contenido en el borrador del blog WordPress, es decir:

Por lo tanto, voy a probar a iniciar una conexión SSH con estos datos.

Nada más conectarme, me encuentro con la bandera número 4:

Ahora voy a extraer los datos de conexión a la base de datos de wordpress.

Listando los directorios del sistema me encuentro un archivo en la raíz del sistema llamado “.5.txt” lo que será la bandera número 5.

Ahí tengo un “Uploader”, el cual, al ser ejecutado por el servidor web se ejecuta con el usuario “www-data”, es decir, el mismo que el archivo “.5.txt”. Voy a ver si puedo aprovechar el “Uploader” para leer el contenido.

Creo un archivo llamado “cat_5.php.gif” con el contenido:

Ahora, accedo al archivo subido “http://10.0.1.134:8008/NickIzL33t/P4TCH_4D4MS/uploads/cat_5.php.gif” y tengo como resultado el contenido del archivo!!

Ahora, juntemos los trozos de contraseña de todas las banderas!

Por tanto, queda como contraseña: “B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack”. Ya puedo descomprimir el archivo “LOOT.ZIP” y terminar la máquina!.

Por lo tanto, después de un largo recorrido; máquina concluida!

Vulnhub