En esta ocasión vamos a hacer el writeup de la máquina Office de Hack the Box, una máquina WIndows de dificultad Hard.
Primer acceso
Accedemos a la IP 10.10.11.3 a través del navegador. A priori parece un blog.
Encontramos un formulario, pero no sabemos las credenciales. También Wappalizer nos encuentra que utiliza Joomla como CMS y varias versiones de servicios:
En el código fuente nos encontramos unos inputs hidden con información que puede ser relevante:
Al acceder al directorio /administrator nos encontramos con un login de administrador de Joomla:
Al acceder al readme.txt encontramos la versión de Joomla 4.2, por lo que podríamos buscar un exploit público para explotarlo:
Igualmente Joomscan nos da información relevante, matizando la versión 4.2.7 y listando los directorios que ya encontramos:
____ _____ _____ __ __ ___ ___ __ _ _ (_ _)( _ )( _ )( \/ )/ __) / __) /__\ ( \( ) .-_)( )(_)( )(_)( ) ( \__ \( (__ /(__)\ ) ( \____) (_____)(_____)(_/\/\_)(___/ \___)(__)(__)(_)\_) (1337.today) --=[OWASP JoomScan +---++---==[Version : 0.0.7 +---++---==[Update Date : [2018/09/23] +---++---==[Authors : Mohammad Reza Espargham , Ali Razmjoo --=[Code name : Self Challenge @OWASP_JoomScan , @rezesp , @Ali_Razmjo0 , @OWASPProcessing http://10.10.11.3 ...[+] FireWall Detector[++] Firewall not detected[+] Detecting Joomla Version[++] Joomla 4.2.7[+] Core Joomla Vulnerability[++] Target Joomla core is not vulnerable[+] Checking Directory Listing[++] directory has directory listing : http://10.10.11.3/administrator/componentshttp://10.10.11.3/administrator/moduleshttp://10.10.11.3/administrator/templateshttp://10.10.11.3/images/banners[+] Checking apache info/status files[++] Readable info/status files are not found[+] admin finder[++] Admin page : http://10.10.11.3/administrator/[+] Checking robots.txt existing[++] robots.txt is foundpath : http://10.10.11.3/robots.txt Interesting path found from robots.txthttp://10.10.11.3/joomla/administrator/http://10.10.11.3/administrator/http://10.10.11.3/api/http://10.10.11.3/bin/http://10.10.11.3/cache/http://10.10.11.3/cli/http://10.10.11.3/components/http://10.10.11.3/includes/http://10.10.11.3/installation/http://10.10.11.3/language/http://10.10.11.3/layouts/http://10.10.11.3/libraries/http://10.10.11.3/logs/http://10.10.11.3/modules/http://10.10.11.3/plugins/http://10.10.11.3/tmp/[+] Finding common backup files name[++] Backup files are not found[+] Finding common log files name[++] error log is not found[+] Checking sensitive config.php.x file[++] Readable config files are not found
Exploit
Haciendo un poco de research buscando exploits para Joomla 4.2.7 nos encontramos este exploit:
Al ejecutarlo... bum! Obtenemos información relevante del Administrador y credenciales de acceso a la base de datos por localhost, por lo que necesitamos estar dentro de la máquina para acceder.
Users[474] Tony Stark (Administrator) - Administrator@holography.htb - Super UsersDatabase infoDB type: mysqliDB host: localhostDB user: rootDB password: H0lOgrams4reTakIng0Ver754!DB name: joomla_dbDB prefix: if2tx_