Overview
Scanning & Enumeration
Port scanning
Pertama kita akan memulainya dengan melakukan scanning terhadap target menggunakan nmap, dari hasil scanning kita mendapatkan informasi berupa port ataupun service yang berjalan dan dapat diakses dari external network.
nmap -sV -sC 10.10.10.191 -vv -Pn
Identify CMS
Pada tahap port scanning kita mendapati bahwa port 80 terbuka, artinya terdapat layanan web yang berjalan. Setelah menganalisa, didapati bahwa web menggunakan CMS Bludit versi 3.9.2
Bludit CMS Vulnerabilities
Didapati bahwa CMS Bludit versi 3.9.2 memiliki beberapa celah kemanan, diantaranya adalah :
- CVE-2019-17240
- CVE-2019-16334
- CVE-2019-16113
beberapa CVE diatas akan digunakan untuk proses exploitasi web ini.
Attack Vector
Setelah mengetahui vulnerability yang terdapat pada CMS Bludit versi 3.9.2, maka dapat kita tentukan attack vectornya sebagai berikut :
- Melakukan bruteforce attack terhadap login page CMS Bludit memanfaatkan CVE-2019-17240
- Setelah berhasil masuk CMS sebagai admin,lalu upload shell / RCE memanfaatkan CVE-2019-16113
- Reverse shell
Akan tetapi untuk melakukan bruteforce pada login pagenya, setidaknya kita perlu tau username yang digunakan oleh admin. Namun kita mencoba bruteforce secara buta menggunakan user admin dengan password menggunakan wordlist rockyou dan custom wordlist dari content website tersebut.
Namun setelah melakukan beberapa kali percobaan bruteforce, tidak membuahkan hasil yang berarti. Mungkin ada informasi yang tertinggal? Mari kita cari lagi.
Discving Hidden File
Pada saat melakukan pentest web, tidak lupa melakukan brute force directori maupun file. Didapatkan sebuah file txt yang menginformasikan bahwa terdapat user bernama fergus.
-Update the CMS
-Turn off FTP - DONE
-Remove old users - DONE
-Inform fergus that the new blog needs images - PENDING
Username : fergus
CVE-2019-17240 (Bludit CMS Version 3.9.2 Brute Force Protection Bypass)
Pada CMS Bludit versi 3.9.2 seorang attacker dapat melakukan bruteforce terhadap login page dengan cara membypass mekanisme proteksinya dengan memanipulasi X-Forwarded-For pada saat melakukan request.
Menggunakan tool ini untuk melakukan bruteforce dengan asumsi password dari wordlist rockyou dan custom wordlist dari content web, lalu didapatkan credential yang valid yaitu fergus:RolandDeschain
CVE-2019-16113 (Remote Code Execution)
Setelah mendapatkan akses ke dashboard admin fergus, maka langkah selanjutnya adalah memanfaatkan CVE-2019-16113 untuk mendapatkan akses shell ke server. Dengan bantuan tool disini kita dapat melakukan reverse shell.
Get User Flag
Setelah mendapatkan akses reverse shell, didapati bahwa terdapat user bernama Hugo dan Shaun (dapat dilihat dari home direcotry /home). Diketahui user.txt terdapat pada user Hugo, apakah eskalasi terhadap user Hugo melibatkan user Shaun?
Jawabannya tidak. Sempat mendapatkan informasi dari directory /ftp yang berakhir tidak berguna apa-apa.
Credential Hugo terdapat pada file website bl-content/databases/users.php yang diketahui passwordnya masih dalam bentuk hash. Lalu dilakukan percobaan identifikasi hash dan didapati kemungkinan algoritma yang digunakan adalah SHA1. Lalu menggunakan decryptor online ini dan didapatkan passwordnya adalah Password120
User Flag : 41d90caf23886809f8c286537992ea5e
Privilege Escalation
Setelah mendapatkan user hugo, lalu mengecek sudoer dan didapati user hugo memiliki privilege yang spesifik, yaitu (ALL, !root) /bin/bash
Setelah googling didapati CVE-2019-14287 yang dapat digunakan untuk privelege escalation pada server ini.
Root Flag : 2fa8b82cf0df79ce0c666d8beb5099c8
Terimakasih, Kalo di rasa tulisan ini bermanfaat, silahkan Share. Semoga kebermanfaatan ini terus berlanjut!
0 comments:
Post a Comment