Brainfuck - HTB Write Up - Parte 1

Enumeração dos serviços com NMAP 

NMAP Geral 

nmap -Pn -sV [IP]

SSH Scan

nmap -Pn -p 22 --script="ssh-*" [IP]

SMTP Scan

nmap -Pn -p 25 --script="smtp-*" [IP]

POP3 Scan

nmap -Pn -p 110 --script="pop3-*" [IP]

IMAP Scan

nmap -Pn -p 143 --script="imap-*" [IP]

HTTPS Scan

nmap -Pn -p 443 -sV -sC [IP]

O resultado do scan no HTTPS retorna as seguintes informações sobre a aplicação: CMS WordPress 4.7.3 e o web server é Nginx 1.10.0 no S.O Ubuntu. 

Ao fazer o acesso apenas com o IP a página padrão do web server é mostrada e o Fuzzing não retorna nenhum recurso. Então, no resultado do scan HTTPS é possível identificar o CN configurado no certificado da aplicação: brainfuck.htb

No arquivo /etc/hosts adicionei o IP do servidor direcionando para os hostnames brainfuck.htb, www.brainfuck.htb e sup3rs3cr3t.brainfuck.htb Ao acessar usando o hostname brainfuck.htb, retorna a página da aplicação:

Fuzzing 

ffuf -r -c -w directory-list-2.3-medium.txt:FUZZ -u https://brainfuck.htb/FUZZ

Tela de login do Wordpress acessível 

WPScan 

wpscan --url https://brainfuck.htb --api-token [token] --random-user-agent --disable-tls-checks

O resultado do scan com o WPScan mostra que a versão 4.7.3 possui diversas vulnerabilidades. 

Comecei avaliando a seguinte vulnerabilidade

[+] WordPress 2.3-4.8.3 - Host Header Injection in Password Reset - a exploração dessa vulnerabilidade requer um servidor de email confgurado, o que iria demandar um tempo grande. 

O pluguin wp-support-plus-responsive-ticket-system é usado pela aplicação e possui diversas vulnerabilidades. No searchsploit, os seguintes explois estão disponíveis: 

O exploit Wordpress WP Support Plus Responsive Ticket System 2.0 não funcionou mas permitiu encontrar diretórios expostos na aplicação, conforme é mostrado abaixo. 

Outro exploit testado foi WP Support Plus Responsive Ticket System 7.1.3 – WordPress Plugin – Sql Injection e não funcionou. Por último, foi possível executar com sucesso uma escalação de privilégio remotamente usando o exploit WP Support Plus Responsive Ticket System 7.1.3 Privilege Escalation disponível no link https://www.exploit-db.com/exploits/41006

O modo de execução do exploit é o seguinte:

[+] Antes de executar o exploit é necessário identificar usuários válidos no wordpress com o WPScan

wpscan --url https://brainfuck.htb --api-token [IP] --random-user-agent --disable-tls-checks --enumerate u

[+] Copia o código disponível no exploit-db 41006 e salva como .html e altera o campo action para a url da aplicação que aponta para a tela de login do Wordpress /wp-admin/admin-ajax.php e adiciona o usuário administrator identificado com o WPScan. 

[+] Abre o arquivo .html no browser e submit Login

[+] Depois de executar o login do exploit, basta atualizar a página da aplicação para confirmar o acesso como administrador 

O acesso ao painel administrativo do Wordpress é permitido ao acessar https://brainfuck.htb/wp-admin/

O perfil administrator não tem muitas funcionalidades, então o mesmo exploit pode ser executado com o perfil admin. 

Usuário admin logado

Painel administrativo do Wordpress com perfil admin 

Ao acessar os plugins instalados, é possível ver as configurações do SMTP e a senha da conta orestis@brainfuck.htb

Usando o E-mail-Client Evolution é possível configurar a caixa de email da conta orestis@brainfuck.htb localmente e receber os emails da conta. 

Essa mensagem de e-mail faz referência a um Forum e ao testar os outros hostnames identificados no scan do HTTPS no início do laboratório, identificamos a aplicação sup3rs3cr3t.brainfuck.htb

Até esse ponto, nenhuma flag foi encontrada. Na segunda parte deste laboratório, será abordado um tipo de criptografia usada para esconder dados no Forum Secret. 

...TO BE CONTINUE