Jump to content
Anastasis

Hack the PinkyPalace VM (CTF Challenge)

Recommended Posts

Anastasis

Hello friends! Today we are going to take another boot2root challenge known as PinkyPalace. The credit for making this vm machine goes to “Pink_panther” and it is another boot to root challenge in which our goal is to gain root access to complete the challenge. You can download this VM here.

Let’s Breach!!!

Let’s do an nmap scan for port enumeration.

nmap -sV -p- 192.168.1.137
1
nmap -sV -p- 192.168.1.137

1.png?w=687&ssl=1

Nmap scan shows us the following ports are open and the corresponding services are running:

 nginx web server on port 8080 
 a squid proxy on port 31337 
 a ssh daemon  on port 64666 

As port 8080 is running nginx, we try to enumerate the webserver but it returns a 403 forbidden code.

2.png?w=687&ssl=1

Now we know that the target machine is running squid server so we try to parse any request that go through it. We use foxyproxy addon to setup a proxy connection in our browser.

3.png?w=687&ssl=1

After setting up our proxy we try to open the webserver, we find that the server is probably configured to allow access from localhost. As when we try to access it via server’s IP address we still get a forbidden response.

4.png?w=687&ssl=1

We enumerate the directories by pivoting our connection through the squid proxy and find a directory called littlesecretes-main/.

dirb http://127.0.0.1:8080 /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -p 192.168.1.137:31337
1
dirb http://127.0.0.1:8080 /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -p 192.168.1.137:31337

5.png?w=687&ssl=1

We open the link that was discovered by the dirb scan, it opens up a page that asks for username and password. We tried to check for sql injection using sqlmap and find that the page is vulnerable to sql injection.

6.png?w=687&ssl=1

Now we enumerate the users and password using sqlmap and find 2 users and the hashes of there password.

sqlmap --proxy=http://192.168.1.137:31337 –data="user=hacking&pass=articles&submit=Login" -u http://127.0.0.1:8080/littlesecrets-main/login.php --level=5 --risk=3 --dump users
1
sqlmap --proxy=http://192.168.1.137:31337 –data="user=hacking&pass=articles&submit=Login" -u http://127.0.0.1:8080/littlesecrets-main/login.php --level=5 --risk=3 --dump users

7.png?w=687&ssl=1

We use the site https://hashkiller.co.uk/md5-decrypter.aspx to decrypt the hash we found in the sqlmap dump. The password for the user pinkymage was decrypted.

8.png?w=687&ssl=1

We were unable to login through the web server using these credentials. So we used them to login through ssh.

ssh pinkymanage@192.168.1.137 -p64666
1
ssh pinkymanage@192.168.1.137 -p64666

9.png?w=687&ssl=1

While enumerating the target machine we find a file called “note.txt” in /var/www/html/littlesecrets-main/ultrasecretadminf1l35/, we open the open and find a hint to search for RSA key. We tried to search for hidden files in the directory and find a hidden file called “.ultrasecret”.

10.png?w=687&ssl=1

When we take a look at the content of the hidden file; we find a base64 encoded string and when we decrypted it we find that it was a RSA Key.

11.png?w=687&ssl=1

We tried to decrypt and save the file in the current directory but we don’t have write permissions for the directory. So we decrypt the hidden file and save it in our home directory of user pinkymanage as id_rsa.

12.png?w=687&ssl=1

Now we move to the home directory for the user pinkymanage and give the RSA key its appropriate permissions. Then we login as user pinky through ssh.

chmod 600 id_rsa ssh -i id_rsa pinky@localhost -p64666
1
2
chmod 600 id_rsa
ssh -i id_rsa pinky@localhost -p64666

13.png?w=687&ssl=1

After logging in as pinky we find two files one executable with suid bit set called “adminhelper” and another text file called “note.txt”. We open the note.txt and find

14.png?w=687&ssl=1

Now we download the file to our system using base64 to convert the hex strings in the file into base64 encrypted strings

15.png?w=687&ssl=1

Now we decrypt the file into our system as save it as file admin.

16.png?w=687&ssl=1

We open the file in our sytem and find a strcpy function in line main+42; as strcpy is vulnerable to buffer overflow. We will try to exploit this vulnerability.

17.png?w=687&ssl=1

To exploit buffer overflow, first we need to overwrite the adjacent memory locations and find the EIP offset. We use pattern_create.rb script to generate a 78 bytes long string.

./pattern_create.rb -l 78
1
./pattern_create.rb -l 78

19.png?w=687&ssl=1

Now we run the file with the string we generated as our argument and find that we were able to overwrite the EIP.

20.png?w=687&ssl=1

To find the EIP offset we used the pattern_offset command, and find the EIP offset to be 72.

./pattern_offset.rb -q 356341346341 -l 78
1
./pattern_offset.rb -q 356341346341 -l 78

21.png?w=687&ssl=1

There are no binary defences like NX or ASLR but there is PIE. So we can’t use the ROP tricks, but we can use Shellcode Injection. We overwrite the EIP with the address of our shellcode which was stored in the kernel environment. This spawns a tty shell as root user.

22.png?w=687&ssl=1

Now we move to root directory and find a file called “root.txt” inside it. We take a look at the content of the file and find the congratulatory flag.

23.png?w=687&ssl=1

 

Share this post


Link to post
Share on other sites

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε προκειμένου να το δείτε

Πρέπει να είστε μέλος για να μπορέσετε να αφήσετε κάποιο σχόλιο

Δημιουργία λογαριασμού

Κάντε μια δωρεάν εγγραφή στην κοινότητά μας. Η εγγραφές μας είναι εύκολες.!

Εγγραφή τώρα

Σύνδεση

Εάν έχετε ήδη λογαριασμό σε αυτό το Forum; Συνδεθείτε εδώ.

Συνδεθείτε τώρα

  • Μηνύματα

    • Anastasis
      Οι ευρωπαϊκές ρυθμιστικές αρχές επέβαλαν πρόστιμο ύψους 5 δισεκατομμυρίων δολαρίων στην Google, για την καταπάτηση των αντιμονοπωλιακών νόμων, σχετικά με το λειτουργικό σύστημα Android. Η επιτροπή, με επικεφαλής την Margrethe Vestager, κατηγόρησε την εταιρεία ότι καταχράστηκε την κυριαρχία της στην αγορά λειτουργικών συστημάτων για smartphone, καθώς ωθεί τους κατασκευαστές να παραδώσουν προεγκατεστημένα προγράμματα αναζήτησης Google και Chrome σε νέες τηλεφωνικές συσκευές.   Δεν είναι η πρώτη φορά που η εταιρεία «χτυπήθηκε» με ένα τεράστιο πρόστιμο που ξεπέρασε το δισεκατομμύριο. Πίσω στο 2016, η εταιρεία έλαβε πρόστιμο ύψους 2,7 δισ. Δολαρίων για την διαχείριση των αποτελεσμάτων αναζήτησης, αφού έδινε την κορυφαία θέση στη δική της ιστοσελίδα αγορών. Οι ευρωπαϊκές ρυθμιστικές αρχές εξέτασαν λεπτομερώς την κίνηση της εταιρείας να καταβάλει σημαντικά ποσά σε κατασκευαστές smartphone και φορείς κινητής τηλεφωνίας, ώστε να εγκαθιστούν την αναζήτηση Google, ως την προεπιλεγμένη εφαρμογή αναζήτησης. Επίσης κατηγορούν την εταιρεία για τη θέσπιση αυστηρών κατευθυντήριων γραμμών προς τους ΚΑΕ, οι οποίες περιορίζουν την ανάπτυξη του Android που βασίζεται στο AOSP (Android Open Source Project). Οι ρυθμιστικές αρχές επιδιώκουν επίσης τον έλεγχο του τρόπου με τον οποίο η εταιρεία διεξάγει τις δραστηριότητές της. Σύμφωνα με το CNBC, η εταιρεία σημείωσε πτώση 0,3% στις μετοχές της αμέσως μετά την δημοσίευση των ειδήσεων.   Οι Ευρωπαίοι αξιωματούχοι ερευνούν το Android από το 2015, αφού η FairSearch υπέβαλε καταγγελία κατά της Google το 2013. Πολλοί τεχνολογικοί γίγαντες υποστήριξαν την καταγγελία, συμπεριλαμβανομένης της Microsoft, η οποία στη συνέχεια δήλωσε ότι η Google έχει το “μονοπώλιο” στην αγορά του Android. Οι νομοθέτες της ΕΕ ζήτησαν από την Google να εφαρμόσει νέες κατευθυντήριες γραμμές μέσα σε 90 ημέρες. Η μη συμμόρφωση με την απόφαση θα υποχρεώσει την εταιρεία να καταβάλει πρόστιμο ίσο με το 5% του μέσου όρου των ημερήσιων κερδών της Alphabet, της μητρικής εταιρείας της Google. Οι νέοι κανονισμοί είναι σίγουρο ότι θα αναγκάσουν την εταιρεία να ανανεώσει τη στρατηγική της για την παροχή εξατομικευμένων αποτελεσμάτων αναζήτησης, καθώς όλο το πρότυπό της βασίζεται στην αναζήτηση Google και σε ολόκληρο το οικοσύστημα της εφαρμογής. Read more...  
    • Anastasis
      Το υπουργείο δικαιοσύνης των ΗΠΑ, η Apple Και η Supercell, προειδοποιήθηκαν για μια πιθανή υπόθεση ξεπλύματος χρήματος. Μέσω του Apple, χρησιμοποιώντας ψεύτικους λογαριασμούς και gaming profiles, οι επιτήδειοι carders χρέωναν κλεμμένες χρεωστικές και πιστωτικές κάρτες για premium συνδρομές, και στην συνέχεια πουλούσαν τους λογαριασμούς στο Internet. Η δραστηριότητα βγήκε στο φως στα μέσα του Ιουνίου, όταν ερευνητές ασφαλείας της Kromtech Security βρήκαν κατά τύχη μια βάση δεδομένων MongoDB, χωρίς κωδικό, την οποία και ανέλυσαν.   “Αφού αρχίσαμε να αναλύουμε την βάση δεδομένων, δεν αργήσαμε να καταλάβουμε ότι αυτή δεν ήταν μια συνηθισμένη βάση δεδομένων κάποιας τυπικής επιχείρησης.” είπε ένας ερευνητής της Kromtech. “Με μια πρώτη ματιά, η βάση φαίνεται να ανήκει σε κλέφτες πιστωτικών καρτών (γνωστούς και ως carders), και η βάση είναι σχετικά καινούρια, δηλαδή μόλις μερικών μηνών.” Ο ίδιος ερευνητής της Kromtech αναφέρει ότι οι carders χρησιμοποιούσαν ένα ειδικό tool, με το οποίο δημιουργούσαν καινούριους IOS λογαριασμούς με ψεύτικα στοιχεία, και στη συνέχεια πρόσθεταν τις κάρτες στους καινούριους λογαριασμούς.   Στην συνέχεια οι carders χρησιμοποιούσαν ένα δεύτερο tool, με το οποίο κατέβαζαν αυτόματα συγκεκριμένες εφαρμογές, δημιουργούσαν καινούριους λογαριασμούς, και αγοράζαν premium συνδρομές, τις οποίες αργότερα πούλαγαν online για αληθινά λεφτά. Οι ειδικοί λένε ότι οι carders για να χρεώνουν τις κλεμμένες κάρτες, είχαν ως στόχο κυρίως λογαριασμούς από παιχνίδια όπως το Clash of Clans, Clash Royale και το Marvel Contest of Champions. Επίσης μέσα από την έρευνα αναφέρεται ότι η εκτεθειμένη βάση δεδομένων είχε στο σύνολο στοιχεία από 150.833 κάρτες,  και οι κάρτες προέρχονται από 19 διαφορετικές τράπεζες. Οι ερευνητές πιστεύουν ότι το περιεχόμενο της βάσης προήλθε από το dark web. Περισσότερα στοιχεία για την έρευνα μπορούν να βρεθούν στον σύνδεσμο.   Read more...  
    • Anastasis
      CloudScraper is a Tool to spider and scrape targets in search of cloud resources. Plug in a URL and it will spider and search the source of spidered pages for strings such as ‘s3.amazonaws.com’, ‘windows.net’ and ‘digitaloceanspaces’. AWS, Azure, Digital Ocean resources are currently supported. This tool was inspired by a recent talk by Bryce Kunz. The talk Blue Cloud of Death: Red Teaming Azure takes us through some of the lesser known common information disclosures outside of the ever common S3 Buckets. The benefit of using raw regex’s instead of parsing for href links is that many times, these are not included in href links, they can be buried in JS or other various locations. CloudScraper grabs the entire page and uses a regex to look for links. This also has its flaws such as grabbing too much or too little but at least we know we are covering our bases 🙂 Download Use usage: CloudScraper.py [-h] [-u URL] [-d DEPTH] [-l TARGETLIST] optional arguments: -h, --help show this help message and exit -u URL Target Scope -d DEPTH Max Depth of links Default: 25 -l TARGETLIST Location of text file of Line Delimited targets example: python3 CloudScraper.py -u https://rottentomatoes.com     Copyright (c) 2018 JP
      Source: https://github.com/jordanpotti/
    • Anastasis
      Security Code Scan – static code analyzer for .NET Facts  Detects various security vulnerability patterns: SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), XML eXternal Entity Injection (XXE), etc.  Taint analysis to track user input data.  One click refactoring for some vulnerabilities.  Analyzes .NET and .NET Core projects in a background (intellisense) or during a build.  Continuous Integration (CI) through MSBuild.  Works with Visual Studio 2015 or higher. Visual Studio Community, Professional, and Enterprise editions are supported. Installation Security Code Scan (SCS) can be installed as: Visual Studio extension. Use the link or open “Tools > Extensions and Updates…” Select “Online” in the tree on the left and search for SecurityCodeScan in the right upper field. Click “Download” and install. NuGet package. Right-click on the root item in your solution. Select “Manage NuGet Packages for Solution…”. Select “Browse” on the top and search for Security Code Scan. Select project you want to install into and click “Install”. Another option is to install the package into all projects in a solution: use “Tools > NuGet Package Manager > Package Manager Console”. Run the command Get-Project -All | Install-Package SecurityCodeScan. Installing it as NuGet package gives the advantage to choose projects in a solution that should be analyzed. It is a good idea to exclude test projects because they do not make it into a final product. However, it requires discipline to install SCS into every solution a developer works with. Installing it as a Visual Studio extension is a single install action. Download Use   Source: https://github.com/security-code-scan/
    • Anastasis
      Network Scanner Simple python script which uses pcap, arp-scan, and avahi to: Find hosts that are on the LAN passively Uses an arp-ping to actively identify hosts Scan each host to determine open ports and services Store record of hosts in JSON file, html webpage, or prints to screen Note: Since IP addresses change, the hosts are fingerprinted via their MAC address. Install Run To run: Copyright (c) 2015 Kevin J. Walchko Source: https://github.com/AllGloryToTheHypnotoad/
×