Ломаем виртуальную машину с VulnHub. 64Base Boot2Root.

Сегодня у нас будет виртуалка 64Base: 1.0.1 . Как видно из названия Base64 кодировка будет основной темой. В описании говориться что нам надо найти 6 флагов формата
 flag1{ZXhhbXBsZSBmbGFnCg==} и автор нас будет троллить на тему StarWars ( It is based on the StarWars storyline and is designed to Troll you in a fun way. ) Мне совсем не показалась эта машина легкой, но она была очень поучительна в плане развития хода мысли при поиске уязвимостей.

Поехали…

Начало как всегда очень типично. Качаем машину , запускаем , определяем IP и сканируем порты в поисках запущенных сервисов.

Ну что же идем на сайт ) К стати сайт очень забавный, но в глаза сразу бросается надпись 64base и под ней текст: dmlldyBzb3VyY2UgO0QK . Догадайтесь что же нужно с ней сделать ;))) Получаем : view source ;D .

Выполняем данный совет, находим эту надпись и видим под ней закомментированный текст. С виду вроде ничего интересного, но присмотритесь что же это вам напоминает.

Используется только цифры и некоторые буквы, шестнадцатеричная система исчисления. Преобразуем HEX — ASCII и декодируем flag1{NjRiYXNlOlRoMzUzQHIzTjBUZGFEcjAxRHpVQHJlTDAwSzFpbmc0Cg==} . Первый флаг у нас в руках. И опять же загляните в кавычки {} , опять что то напоминает. Декодируем и получаем новую подсказку : 64base:Th353@r3N0TdaDr01DzU@reL00K1ing4

В поисках второго флага.

Мы добыли учетные данные из первого флага и хочется сразу ломануться в ssh. Но вышел облом, не подходит ( Ладно не будем расстраиваться, поищем админку на сайте :

dirsearch -r -u http://192.168.56.103 -e php,txt,bak -w /usr/share/dirb/wordlists/big.txt -x 301,403,503

И опять облом( Учетка не подходит, но админка есть (держим в уме). Напрашивается не сложный вывод, стандартный словарь не подходит. Придется искать зацепки что бы расширить словарь. Заглянем в robots.txt :

Нашлась другая защищенная страница и учетные данные подошли, но автор нас опять троллит:

[☠] ERROR: incorrect path!…. TO THE DARK SIDE!

Темная сторона это видно отсылка к исходному коду страницы, заглянем :

Добавляем /BountyHunter и опять влетаем в страницу авторизации. Потыкав пару раз на дурака(типа admin:admin) заглянем в исходный код :

Вуаля второй ключ найден : flag2{aHR0cHM6Ly93d3cueW91dHViZS5jb20vd2F0Y2g/dj12Snd5dEZXQTh1QQo=} К стати автор нас опять тут троллит )

flag3 .

К сожалению во флаге не нашлось подсказки. Придется дальше ковырять форму регистрации. Данные форма отправляют в login.php , вводим туда что хотим и редиректимся на index.php без всяких ошибок и т.д. Потыкав в это дело программой curl получаем забавный заголовок WWW-Authenticate :

Попробуем дальше :

curl http://192.168.1.2/Imperial-Class/BountyHunter/login.php -H 'Authorization: Basic NjRiYXNlOlRoMzUzQHIzTjBUZGFEcjAxRHpVQHJlTDAwSzFpbmc0' 

Если вы не знакомы с WWW-Authenticate то почитайте про это в инете немного. Ну а в нашем случает в ответ мы получили тритий ключ :

flag3{NTNjcjN0NWgzNzcvSW1wZXJpYWwtQ2xhc3MvQm91bnR5SHVudGVyL2xvZ2
luLnBocD9mPWV4ZWMmYz1pZAo=}

IMPORTANT!!! USE SYSTEM INSTEAD.

Ну что же, мы получили новую подсказку : 53cr3t5h377/Imperial-Class/BountyHunter/login.php?f=exec&c=id . Надпись много обещающая , но чего то нам не хватает. Если вы последовали моему примеру и полистали сайт то возможно вам бросилась надпись : IMPORTANT!!! USE SYSTEM INSTEAD OF EXEC TO RUN THE SECRET 5H377 (Важно!!! Используйте SYSTEM вместо EXEC для запуска секретного 5H377) Вообще хорошая практика, подсказка может быть где угодно ))))

Командный шулл, забавно. Быстро выясняется что набор команд ограничен (

Играемся дальше с шеллом : у нас не фильтруется символ | подставив его в начало команды, получаем возможность выполнить любую.

 |locate admin|grep html|xargs find 

/var/www/html/admin
/var/www/html/admin/index.php
/var/www/html/admin/S3cR37
/var/www/html/admin/S3cR37/flag5{TG9vayBJbnNpZGUhIDpECg==}
/var/www/html/admin/.htaccess
/var/www/html/admin/.htaccess
/var/www/html/admin/index.php

Если вы не знакомы с утилитой xargs почитайте про нее с начало. А у нас новая подсказка : Look Inside! 😀

#Точка в конце обязательна, значит текущий каталог  
|locate admin|grep html|xargs find|grep TG|xargs cp -t .
#Изменяем права доступа
|ls|grep TG|xargs chmod 777 

Открываем файл в браузере, все таки я люблю Звездные Войны ))))

Последний бой….

Используй силу — качаем картинку и препарируем ее на метаданные, можно онлайн .

-----BEGIN RSA PRIVATE KEY-----
 Proc-Type: 4,ENCRYPTED
 DEK-Info: AES-128-CBC,621A38AAD4E9FAA3657CA3888D9B356C
 mDtRxIwh40RSNAs2+lNRHvS9yhM+eaxxU5yrGPCkrbQW/RgPP+RGJBz9VrTkvYw6
 YcOuYeZMjs4fIPn7FZyJgxGHhSxQoxVn9kDkwnsMNDirtcoCOk9RDAG5ex9x4TMz
 8IlDBQq5i9Yzj9vPfzeBDZdIz9Dw2gn2SaEgu5zel+6HGObF8Zh3MIchy8s1XrE0
 kvLKI252mzWw4kbSs9+QaWyh34k8JIVzuc1QCybz5WoU5Y56G6q1Rds0bcVqLUse
 MSzKk3mKaWAyLXlo7LnmqqUFKHndBE1ShPVVi4b0GyFILOOvtmvFb4+zhu6jOWYH
 k2hdCHNSt+iggy9hh3jaEgUnSPZuE7NJwDYa7eSDagL17XKpkm2YiBVrUXxVMnob
 wXRf5BcGKU97xdorV2Tq+h9KSlZe799trTrFGNe05vxDrij5Ut2KcQx+98K8KpWL
 guJPRPKGijo96HDGc3L5YsxObVg+/fj0AvsKfrcV/lxaW+Imymc1MXiJMbmCzlDw
 TAWmaqkRFDyA1HUvtvSeVqS1/HjhDw9d4KsvsjkjvyeQTssfsdGcU0hDkXwRWssd
 2d3G+Njm1R5ZLNgRlNpVGjhKC4AsfXS3J0z2t3BPM9ZOBMBe9Dx8zm5xFY9zWtrv
 AGpr0Bh8KQwmpjQUc1afsqaQX0UHNLXT1ZOWKjg4SA3XC9dCEyFq0SIxQjO9LGCG
 4Q5ncfUhmvtqyutCll2dXPsXVDe4eoD1CkvJNDY3KPW+GkN9L+9CPy8+DNunFIwx
 +T++7Qg/uPXKq4M61IQ8034UhuRWS4TqP9azX3CG9LyoiB6VbKOeDwN8ailLKZBs
 fY9Q6AM1sylizH1nnxKOtZQWurxjGJBIs62telMkas9yNMk3Lu7qRH6swO9sdTBi
 +j0x4uDZjJcgMXxfb0w5A64lYFsMRzFj7Xdfy19+Me8JEhQ8KNXDwQKDyULFOTsz
 13VfBNxYsyL5zGXNzyqZ4I/OO7Med2j0Gz0g21iHA/06mrs2clds6SUBGEvn8NiV
 rSrH6vEs4Szg0x8ddGvQ0qW1vMkTRu3Oy/e10F745xDMATKRlKZ6rYHMCxJ3Icnt
 Ez0OMXYdC6CiF/IWtgdU+hKyvs4sFtCBclSagmDTJ2kZdu4RRwYVV6oINz9bpOvE
 Rx3HUqfnKShruzM9ZkiIkuSfRtfiMvbTzffJTS4c48CO5X/ReF/AaMxkbSdEOFsI
 Fv9Xdi9SdNuxGHE2G4HvJdIprFUrVSpSI80wgrb245sw6gToitZ90hJ4nJ5ay7AG
 Yiaa5o7877/fw6YZ/2U3ADdiSOBm+hjV2JVxroyUXbG5dfl3m8Gvf71J62FHq8vj
 qJanSk8175z0bjrXWdLG3DSlIJislPW+yDaf7YBVYwWR+TA1kC6ieIA5tU3pn/I3
 64Z5mpC+wqfTxGgeCsgIk9vSn2p/eetdI3fQW8WXERbDet1ULHPqtIi7SZbj8v+P
 fnHLQvEwIs+Bf1CpK1AkZeUMREQkBhDi72HFbw2G/zqti/YdnqxAyl6LZzIeQn8t
 /Gj4karJ1iM9If39dM5OaCVZR/TOBVaR8mrP7VtJor9jeH2tEL0toEqWB1PK0uXP
 -----END RSA PRIVATE KEY-----

Вот мы и внутри ))) Ура … Осталось выполнить последнюю подсказку )

Это был увлекательный и познавательный квест, до новых встреч.