Доброе время суток, вот и подоспел очередной квест от sendbox проекта Hack.me . Наткнулся на интересное задание, проверить CMS сайта BeachResort на безопасность. Забегая вперед скажу что для меня(новичка) это было очень увлекательное задание.
Ну что же запускаем sendbox,нам отправляют на сайт.
Первое задание:
- 1) what is the CMS administrator’s username?
Побродив по сайту, ничего интересное я не нашел, обычный шаблон. По этому запустил dirsearch в поисках входа для администратора сайта и пошел со спокойной душой смотреть сериал.
python3 dirsearch.py -u http://s70493-102657-p6d.sipontum.hack.me -e txt,html,php -w /usr/share/dirb/wordlists/big.txt -x 404,504
К стати, я использовал большой словарь который входит в другую программу DIRB.
Вернувшись я был крайне разочарован, админка не найдена ((( Но плакать не будем, пошел в Google. Опущу подробности,но дам вам две подсказки: Powered by: SuperCMS и ручками пришлось добавить словарь. Админка все таки найдена:
Задание номер два:
- what is the db name?
- list the table names.
Это нам сразу говорит об SQL инъекции, подробней в статье. Запускаем sqlmap и выжимает все что можно:
Все хорошо, но пароли зашифрованы, легко сдаваться не хотят (( Sqlmap предложил мне расшифровать их, даже смог это сделать со всеми кроме админа, так что придется делать это самим. Благо хеш оказался простым md5 — 2bfea2ff114ccd30d95e176a1d25346a.
Для этого воспользуемся просто культовой программной Hashcat:
- Очень быстрая.
- Работает наверное со всеми видами хеш. Убедитесь командой —help.
- Поддерживает GPU.
- И еще куча всего всего.
heshcat -m 0 -a 0 2bfea2ff114ccd30d95e176a1d25346a /путь к словарю/словарь
-m Код типа хеша(md5), все коды можно посмотреть в справке.
-a Тип атаки: 0-словарь.
2bfea2ff114ccd30d95e176a1d25346a — Сам хеш, так же можно указать и файл где можно записать несколько хешей.
К стати я не парился с установкой всех этих программ, просто поставил Kali Linux куда входит уже очень много программ для тестирование на проникновение.
И опять мне не повезло ((( В моем словаре не нашлось пароля! Идем в Google )) Как не странно, нашел пароль на онлайн сайте по взлому md5.
Третье задание :
- list all the files stored in the root directory of superCMS admin site.
- list the contents of a very super secret file.
Тут собственно все понятно. Нужно как то залить Shell на сайт. Я взял первый попавшийся с GitHab под название WSO. К стати не плохой такой Web-Shell. Конечно по хорошему у вас должен быть свой, написанный самолично. Заходим в админку :
Есть загрузка файлов, жаль , залить php с ходу не получилось.
Опять же Google нам поможет. Собственно решение нашлось. Нам нужно изменить POST запрос, убедив что наш Shell это картинка. Лично я пошел путем который все советуют : скачал плагин Tamper Data для Firefox. Переименуем wso.php в два файла wso.gif и wso.gif.php. Попытаемся залить wso.gif. Далее редактируем запрос, меняем название файла на wso.gif.php и добавляем в начало файла сигнатуру GIF89a(Сигнатура это первые байты, указывающие на тип файла). Отправляем запрос, вуала, файл залился.
Как и предполагалось, файл залился в папку с картинками. Открываем шелл по ссылки :
http://s70493-102657-p6d.sipontum.hack.me/images/wso.gif.php
Вот и закончился этот увлекательный квест, надеюсь вам понравилось.