{"id":661,"date":"2020-01-09T02:33:26","date_gmt":"2020-01-09T01:33:26","guid":{"rendered":"https:\/\/www.pinguytaz.net\/?p=661"},"modified":"2020-01-09T02:33:28","modified_gmt":"2020-01-09T01:33:28","slug":"mr-robot-ctf-tryhackme","status":"publish","type":"post","link":"https:\/\/www.pinguytaz.net\/index.php\/2020\/01\/09\/mr-robot-ctf-tryhackme\/","title":{"rendered":"Mr Robot CTF (TryHackMe)"},"content":{"rendered":"\n
\"\"<\/figure><\/div>\n\n\n\n

CTF (Captura de bandera) Mr.Robot<\/a>, consiste en la localizaci\u00f3n de tres bandera y en este caso utilizaremos lo m\u00e1s posible la herramienta WFuzz<\/a> una de nuestras navajas suizas de pentesting. Ya vimos la captura de las banderas en otra entrada de esta misma p\u00e1gina, en esta ocasi\u00f3n la realizaremos con otros m\u00e9todos como es el uso de la herramienta WFuzz<\/a> y aplicaremos una vulnerabilidad para el acceso algo distinta.<\/p>\n\n\n\n

Lo primero sera unirnos a la habitaci\u00f3n de Mr.Robot y realizar nuestra conexi\u00f3n OpenVPN a la red de \u00abTryHackMe<\/a>\u00bb para as\u00ed poder despegarla maquina durante una hora.<\/p>\n\n\n\n

Enumeraci\u00f3n<\/h2>\n\n\n\n
nmap -O -sS -Pn -sV <IP asignada><\/code><\/pre>\n\n\n\n
 <\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
El sistema operativo no esta muy claro pero se ven dos puertos abiertos y uno cerrado, empezaremos con el puerto 80.<\/p>\n\n\n\n
80 HTTP<\/h3>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
En principio no vemos formularios ni nada, pero es el momento de empezar a usar \u00abWfuzz\u00bb, en esta ocasi\u00f3n usaremos un script de WFuzz<\/a>  llamado links<\/em>  que nos permitir\u00e1 localizar enlaces de posible interes.<\/p>\n\n\n\n
wfuzz -L -c --script=links -z list,index.html --hc 404 http:\/\/<IP>\/FUZZ<\/code><\/pre>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
En principio como posible inter\u00e9s tenemos los ficheros \u00ab.js\u00bb.<\/p>\n\n\n\n
Continuamos utilizando WFuzz<\/a>, es este caso para buscar ficheros y directorios de inter\u00e9s.<\/p>\n\n\n\n
wfuzz -L -c -z file,bin\/ficheros\/fich_dir_web.txt --hc 404 http:\/\/<IP>\/FUZZ<\/code><\/pre>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
En esta ocasi\u00f3n vemos varios archivos interesantes como .htaccess<\/em> pero no tenemos acceso, tambi\u00e9n podemos observar que al parecer tiene phpmyadmin que podr\u00eda ser un vector de ataque y robots.txt que lo primero que hacemos es ver su contenido y nos encontramos la referencia de dos fichero: fsocity.dic y  key-1-of-3.txt, este ultimo tiene toda la pinta de ser la primera bandera.<\/p>\n\n\n\n
Al cargar el fichero \u00abhttp:\/\/10.10.103.39\/key-1-of-3.txt\u00bb vemos que disponemos de la primera bandera<\/strong>, por lo que entregamos el contenido es \u00ab073403c8a58a1f80d943455fb30724b9\u00bb para validarlo.<\/p>\n\n\n\n
Al ver el otro fichero \u00abfsocity.dic\u00bb vemos que es un diccionario de palabras que alguna podr\u00eda ser usuarios o claves, lo primero que hacemos es bajarlo a nuestra maquina para eliminar los duplicados y as\u00ed generarnos un diccionario.<\/p>\n\n\n\n
curl -o fsocity.dic http:\/\/<IP>\/fsocity.dic\ncat fsocity.dic | sort | uniq > fsocity_unicos.dic<\/code><\/pre>\n\n\n\n
 Continuamos utilizando wfuzz<\/a>, en este caso para intentar descubrir el tipo de CMS.<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Continuamos utilizando nuestra herramienta wfuzz<\/a>, en este caso lanzamos los payloads para localizar directorios y ficheros de paneles de administraci\u00f3n.<\/p>\n\n\n\n
wfuzz -L -c -z file,\/usr\/share\/wfuzz\/wordlist\/general\/admin-panels.txt --hc 404 http:\/\/<IP>\/FUZZ<\/code><\/pre>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Al encontrar el archivo wp-login.php, fichero de WordPress<\/a>, por lo que lanzamos otro escaneo con ficheros y directorios propios de WordPress<\/a> para confirmarlo.<\/p>\n\n\n\n
Al saber el acceso para la la administraci\u00f3n del panel de wordpress \u00abwp-login.php\u00bb intentamos localizar el usuario y clave por fuerza bruta, con WFuzz<\/a>, utilizando el ficheros reducido \u00abfsocity_unicos.dic\u00bb que hemos creado.<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Lo primero que hacemos es ver el codigo del formulario que obtendremos bajando la p\u00e1gina con \u00abcurl http:\/\/10.10.103.39\/wp-login.php -o Login.php\u00bb y en ella vemos que la solicitud es POST a \u00abhttp:\/\/<IP>\/wp-login.php con los argumentos:<\/p>\n\n\n\n