Kioptrix Level 1.2 #3 Walkthrough

Tercera parte de la serie de Kioprix, serie de máquinas virtuales recomendada para iniciar prácticas, sobre todo para los que buscan la certificación OSCP.

Escaneo del objetivo en la red después de ser detectado con netdiscover.

root@kali:~# nmap -O -sV 192.168.56.22


  • El atacante explora el puerto 80 y sus directorios:


  • El atacante ingresa en la opción del menú: Login


  • Después de intentar usuarios y contraseñas por defecto, el atacante observa el código fuente para buscar información sensible que podría ser útil. Un comentario HTML que muestra la ubicación de la página de inicio de sesión admin / galería / gadmin.


  • Esta página de inicio de sesión demuestra al atacante que la aplicación se llama Gallarrific, que es vulnerable a SQLi en gallery.php.

http://kioptrix3.com/gallery/gadmin/


  • En la sección de galería de imágenes, el atacante observa la url cambia al mover las opciones de búsqueda de imágenes mostrando una posible vulnerabilidad de inyección sql.


  • El atacante ejecuta SQLMAP a través de un script en Python para extraer información de las tablas de la base de datos gallery

root@kali:~/Desktop/sqlmap-dev# ./sqlmap.py -u “http://kioptrix3.com/gallery/gallery.php?id=1&sort=filename#photos” –dbms=MySQL -D gallery –tables


  • A continuación el atacante extrae correctamente los datos de los user y passwords desencriptados con el sript:

root@kali:~/Desktop/sqlmap-dev# ./sqlmap.py -u “http://192.168.73.181/gallery/gallery.php?id=1&sort=filename#photos” –dbms=MySQL -D gallery -T dev_accounts –dump


  • El atacante comprueba las credenciales via SSH en el puerto 22 pudiendo conectarse con el usuario loneferret.
  • Despues de realizar la conexion por SSH, observamos un archivo README donde nos indica la posible modificacion, lectura y creacion de archivos con ht.


  • En el editor el atacante tiene permisos de root, abrimos Con F3 /etc/sudoers
  • sudo ht  para abrir el editor:


  • Se guarda la configuración con F2 y el atacante procede con sudo /bin/bash:

ROOT


  • Para finalizar, el atacante captura la bandera:

 

Comentarios