Otra máquina de la gente de VulnHub para realizar el tutorial. En este caso el creador nos indica que la máquina es de nivel medio-avanzado y que no responde a ping, así que debemos revisar el DHCP. También nos dice que el objetivo es hacernos con una shell de root.
Una vez montada la máquina en Vbox, lo primero será lanzar un nmap con la opción -Pn ya que como nos han indicado, no responde a ping.
Veo que el puerto 80 está abierto, así que empecemos por ahí a ver que podemos sacar.
Lo primero que nos encontramos al abrir la web es una página que nos dice
Y una vez que ponemos la ruta bien en el /etc/hosts ya podemos acceder
Tras revisar todos los links y ver que apuntan a la página principal decido ir a por las imágenes con un resultado parecido. Después de analizar las de la primera página con steghide, me encuentro con un mensaje.
No sé exactamente a que se refiere esa frase, así que lo dejo aparcado.
Hora de pasar por Bup y revisar las cabeceras y demás parámetros. Rápidamente me llama la atención lo siguiente
El mensaje tiene miga xD, muy Americano todo. Lo que realmente me llama la atención es Varnish, como no sé que es, a buscar en Google.
Pues parece ser que es un proxy inverso y acelerador de aplicaciones web (según wikipedia).
Llegado este punto estoy más perdido que El Fary en un concierto de Dream Theater.
Encuentro un par de páginas en las que explican cómo funciona Varnish y cómo interactuar con el. Resulta que hasta tiene su propio lenguaje de configuración VCL (Varnish Configuration Language)... Bueno, que me voy del tema. Encuentro algo que me llama la atención poderosamente (hay que decirlo más xD).
Igual es una ida de pinza mía, pero ¿y si resulta que Varnish es capaz de modificar la web de “The purge” y tras la modificación mostrar otro contenido?
Después de consultar la ayuda de curl y de ver algún ejemplo en una web, le tiro un curl -X PURGE, devolviéndome el siguiente resultado.
Pues no, no es una ida de pinza ni mucho menos, realmente cambian cosas en la web. De hecho si vuelvo a mirar las imágenes, las descargo y les paso steghide, resulta que el resultado es distinto.
Después de procesar algunas imágenes y de volverme loco buscando el “salvoconducto”, me doy que cuenta que no tiene, es decir, que no hay que buscar nada más xD, le das a la tecla de intro y a correr.
Parece que steghide ha hecho su trabajo y nos devuelve una URL con un vídeo de YouTube. Vamos a ver qué nuevo reto nos aparece.
Pues un vídeo del mítico grupo Gun´s N Roses. En este caso el tema de “Knocking on heavens doors”.
Después de escuchar el tema un par de veces (un buen tema xD) no aprecio ni código morse ni nada, además por el número de visitas (más de 42 millones) dudo que el creador haya hecho nada con el video, así que ni me molesto en descargarlo para procesarlo.
De lo que sí que me percato revisando de nuevo la salida de steghide, es que devuelve una serie de caracteres 2tmc8rJgxUI#7d5,7a69,7cb,16. Si partimos lo que hay después del =, la primera parte (hasta la #) podría ser Base64 y la segunda tiene pinta de hexadecimal. Voy a ver si saco algo.
Pues me da que le he echado algo raro al tabaco y me ha sentado mal... Ni lo uno ni lo otro. Aquí me quedo atascado sin saber cómo seguir.
Le vuelvo a dar otra vuelta convencido de que ahí hay código en hexadecimal, y creo que así es, solo que no hay primera y segunda parte, solo parecen válidos los dígitos de después de la almohadilla y si los separo por líneas parece que devuelve algo.
Además el resultado no lo devuelve en texto plano, sino que hay que fijarse en la parte que convierte a decimal, como se ve en la imagen anterior.
Ya que estoy con la ida total de pinza y así de repente me da por asociar la salida en decimal con puertos de la máquina, aunque recuerdo que nmap solo sacó el 80. De todas formas el único que me suena es el 22 perteneciente a SSH. Voy a mirar el resto por si acaso.
Parece que el 2005 no pertenece a nada, el 31337 lo usa (según la Wikipedia) el Back Orifice. El 1995 lo mismo, nada. Más bien parece relacionados con años, pero no se de que.
Por desesperación tiro del spider de Burp y mientras le tiro también con Dirbuster. Nada de nada, esto empieza a comerme la moral… lo único curioso que veo con Dirbuster es un error 418 que ni conocía.
Me vuelvo al frontal web y sigo mirando todo por trigesimosegunda vez y por fin me viene la luz (o eso creo). Revisando los pies de imagen me encuentro con el nombre de los autores de los comentarios, si bien es cierto que el link como siempre apunta a la propia web, quizá pueda hacer una especie de enumeración de usuarios.
He recopilado solo tres usuarios, pero menos es nada. Voy a ver si alguno tiene creado a modo de carpeta algo.
Pues sigo igual, nada con ninguno de los tres. Vale, pero ¿y si había otros escritores antes del cambio que hice al tirarle el curl?
Revisando a fondo la máquina, consigo descubrir otros usuarios.
Después de probar los nuevos usuarios veo que hay dos que tienen contenido en su carpeta. bwilliams0n y zsand1n. Eso si, después de volverme loco durante 45 minutos porque no le ponía delante del nombre la puñetera ~.
El perfil de Bill tiene un video incrustado raro de narices y Zoey tiene una especie de web personal (por llamarlo de alguna manera) con varios links (que llevan a su propio perfil) y en el icono del correo te lleva a una clave GPG.
0 comentarios:
Publicar un comentario