aadadsaasdas

192.168.12.252
Lingoat Security – Lotus CMS
Luego de navegar un poco por la pagina procedimos a verificar que servicios posee levantados, ademas del apache que ya sabiamos, notamos que posee servicios ssh activos, que los confirmamos al realizar una conexión fallida al mismo, por ende necesitariamos conseguir algun usuario del servidor para poder conectarnos por ssh.
Navegando por la pagina llegamos a un apartado correspondiente al siguiente link:
http://192.168.12.252/gallery/gallery.php?id=1&sort=filename#photos
Fijandonos en el link notamos que posee un bloque “id” suceptible a un ataque de inyeccion sql, el cual lo confirmamos corriendo el siguiente comando de sqlmap:

sqlmap -u "http://192.168.12.252/gallery/gallery.php?id=1&sort=filename#photos" –dbms=MySQL

Sabiendo esto, procedemos a la inyeccion sql con el siguiente comando:

sqlmap -u "http://192.168.12.252/gallery/gallery.php?id=1&sort=filename#photos" --dbms=MySQL –dbs
El cual nos devuelve que base de datos existen asociadas a la pagina, los cuales son:

available databases [3]:
[*] gallery
[*] information_schema
[*] mysql
Luego de recorrer todas, la base de datos “gallery” es bastante interesante al poseer el siguiente esquema:
Database: gallery
[7 tables]
+----------------------+
| dev_accounts         |
| gallarific_comments  |
| gallarific_galleries |
| gallarific_photos    |
| gallarific_settings  |
| gallarific_stats     |
| gallarific_users     |
+----------------------+
De las cuales nos llamo la atencion la tabla “dev_accouts” a la cual accedimos con el siguiente comando:
sqlmap -u "http://192.168.12.252/gallery/gallery.php?id=1&sort=filename#photos" --dbms=MySQL -D gallery -T dev_accounts –dump
Table: dev_accounts[2 entries]
+----+----------------------------------+------------+
| id | password                         | username   |
+----+----------------------------------+------------+
| 1  | 0d3eccfb887aabd50f243b3f155c0f85 | dreg       |
| 2  | 5badcaf789d3d1d09794d8f021f40f0e | loneferret |
+----+----------------------------------+------------+
Consiguiendo dos usuarios y posibles contraseñas, probamos conectarnos con ssh utilizando esas contraseñas las cuales no funcionaron por ende procedimos a verificar si estabas encriptadas, no cumpliendo con el estandar de base64, utilizado anteriormente, probamos con md5 un sistema de encriptado comun, el cual fue positivo pudiendo conseguir los siguientes datos:
Usuario: loneferret y Contraseña: starwars
Intentamos de nuevo conectarnos por ssh, esta vez ya con éxito, concretando la intrucion dentro del servidor, una vez aquí procedimos a intentar una escalada de permisos desde este usuario hasta root.

Luego de verificar que no poseemos ningun permiso interesante, dentro de la carpeta de este usuario existia un archivo de texto que cita:

“Hello new employee,
It is company policy here to use our newly installed software for editing, creating and viewing files.
Please use the command 'sudo ht'.
Failure to do so will result in you immediate termination.

DG
CEO“
El cual nos sugiere utilizar el comando “sudo ht”, el cual luego de googlear hace referencia a un editor de texto con el nombre de ht, al ejecutarlo nos encontramos con el siguiente error:
Error opening terminal: xterm-256color
El cual luego de googlear bastante encontramos la solucion aplicando el siguiente comando:
export TERM=xterm
Aplicado dicha variable de entorno, volvemos a ejecutar el comando esta vez con éxito, accediendo asi a un editor de texto un poco dificil de utilizar.
Ya que el editor de texto esta siendo ejecutado en modo “root” podemos realizar cambios los cuales no teniamos autorizado antes, por ende procedemos a modificar el archivo /etc/passwd agregandonos un usuario lacourMartinez con contraseña op3Rativ*s.lacour.
Luego de convertirnos en usuarios root, procedi a eliminar los usuarios vulnerables loneferret y dreg, ademas de elegir una contraseña fuerte al nuevo usuario, nos aseguramos de dificultar el acceso, y evitar realizar la misma intrusion la cual nos dio acceso a este servidor.
REVISAR COMO NOS HICIMOS ROOT NO ME ACUERDO.