1. Latar Belakang

Nah, CTF lagi nih, dari vulnhub kali ini judulnya Nullbyte

IP Lokal  :172.16.61.161
IP Target :172.16.61.170

2. Pengumpulan Informasi

Seperti biasa, saya mulai dengan menggunakan nmap untuk melihat informasi aplikasi dan port apa saja yang terbuka

screen-shot-2016-10-20-at-7-40-16-pm

Terlihat disini ada port yang terbuka yaitu port 80, 111,777,57366.

3. Enumerasi Layanan

Saya akan langsung mengenumerasi port 80, langkah pertama yang saya lakukan adalah menggunakan nikto :

screen-shot-2016-10-20-at-8-31-01-pm

Untik sementara yang menarik disini adalah adanya folder /phpmyadmin/ yang nanti bisa kita lihat.

tidak ada yang menarik dilihat dari folder phpmyadmin, saya juga menemukan folder bernama uploads, juga belum bisa memberikan info apa2, selanjutnya saya gunakan web browser untuk membuka http://172.16.61.170/ yang hasil nya seperti ini :

screen-shot-2016-10-20-at-9-10-37-pm

tampak sebuah gambar jpg, saya juga sempatkan untuk melihat source codenya, tidak ada juga yang menarik, namun disini  saya akan memeriksa jpeg ini dengan menggunakan exiftool

screen-shot-2016-10-20-at-9-20-07-pmternyata benar, ada yang menarik yaitu command yang bertuliskan kzMb5nVYJw setelah saya coba-coba ternyata ini adalah nama sebuah directory.

screen-shot-2016-10-20-at-9-27-28-pm

kemudian page sourcenya tampak seperti ini :

 

<br /><center></center>
<form action="index.php" method="post">Key:
<input name="key" type="password" />
</form><!-- this form isn't connected to mysql, password ain't that complex --!>

Kalau tidak ada sambungan ke mysql ya sudah, kita akan melakukan brute force dengan menggunakan hydra dengan menggunakan perintah :

hydra 172.16.61.170 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^&:invalid key" -P /usr/share/dict/words -la -t 10 -w 30

kemudian keluar lah hasil sebagai berukut :

screen-shot-2016-10-21-at-10-31-34-am

Dapat dilihat disini saya mwndapatkan password ‘elite’ kemudian saya masukan password tersebut dan keluar hasil seperti ini :

screen-shot-2016-10-21-at-10-38-34-amHampir membuat saya kecewa berat, tapi tunggu dulu ketika saya tekan enter, keluar tampilan seperti ini :

Screen Shot 2016-10-21 at 10.39.47 AM.png

aha, ini menunjukan adanya SQL saya akan coba dengan menggunakan sql map dengan perintah :

sqlmap --threads=10 --url="http://172.16.61.170/kzMb5nVYJw/420search.php?usrtosearch=a*" --dump all

dengan hasil sebagai berikut :

screen-shot-2016-10-21-at-10-43-49-am

terlihat disini ada user bernama isis dan sepertinya password nya di encode menggunakan md5, kemudian dengan search di google dapatlah saya ‘omega

disini saya sudah mendapatkan user dan password yaitu ramses dan omega, langkah berikutnya saya akan coba melakukan sambungan menggunakan ssh.

4. Akses Shell Terbatas

lanmgsung saya gunakan kredensial tersebut untuk masuk ke SSH melalui port 777, dengan hasil sebagai berikut :

screen-shot-2016-10-21-at-10-57-03-am

Didalam folder /var/www/backup terdapat sebuah file dengan izin suid bernama procwatch, 

screen-shot-2016-10-21-at-11-05-00-amKemudian saya eksekusi ./prowatch keluar lah hasil seperti ini

Screen Shot 2016-10-21 at 11.17.48 AM.png

5. Akses Root

Tampaknya aplikasi ini menjalankan ‘ps’ dengan absolute path atau tidak. mari kita test dengan menggunakan symlink ke ‘ps’ di directory ini dan menamakanya ‘ps’

screen-shot-2016-10-21-at-11-22-22-am

tampaknya ini ‘ps’ tanpa path, mari kita lanjutkan dengan mendapatkan shell root

screen-shot-2016-10-21-at-11-24-29-am

selanjutnya kita eksekusi ./procwatch

Screen Shot 2016-10-21 at 11.25.37 AM.png

dapat akses root dan saya buka proof.txt seperti hasil diatas

6. Kesimpulan

Selesailah sudah VM ini sangat menarik dan sangat menyenangkan untuk dikerjakan

Wassalam

Advertisements