ورشة عمل لأختراق مدونة وردبريس TryHackMe|ColddBox:Easy

ورشة عمل لأختراق مدونة وردبريس WordPress​

TryHackMe|ColddBox:Easy
​

:: رابط الغرفة لحل التحدى ::​

https://tryhackme.com/room/colddboxeasy​

ملاحظه: سوف احاول ان اشرح طريقة الحل بدون كتابه الاجابة بشكل مباشر
للبدء يجب ان تقوم بتشغيل المعمل من خلال الضغط على الايقونه التالية

بعد ان يكتمل تحميل المعمل سوف يظهر لك عنوان IP الخاص بالجهاز في الشريط العلوي كما فى الصورة

كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـIP للمشين بتاعتكم على TryHackMe

 

أول حاجة نشغل الـmachine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap

sudo nmap IP -vv

طلع معانا بورت واحدة فقط وهي 80 بنسوي عليها Aggressive scan

sudo nmap IP -p 80 -A

 

طلع معانا إن الموقع على بورت 80 يستخدم wordpress، وبما إنه يستخدم wordpress إذن بنستخدم في الـscans القادمة الأداة wp-scan

الحين بنبدأ مسح على جميع البورتات ونشوف لو نلاقي بورت أخرى مفتوحة، وعلى بال ما هذا الـ سكان شغال نشتغل على بورت 80 ونشوف وش نقدر نطلع منها معلومات كمان.

sudo nmap IP -p- -vv

 

أول شيء بنسوي directory enumeration باستخدام gobuster

gobuster dir -w /usr/share/dirb/wordlists/common.txt -u htttp://IP/ -t 64

طلع معانا مسارين مثيرة للاهتمام وهي /hidden, /wp-admin

/wp-admin هو صفحة تسجيل الدخول على الداشبورد الخاصة بـwordpress
/hidden يحتوي على ملاحظة فيها أسماء 3 أشخاص وعلى الغالب هذه الأسماء تعود لمستخدمين فعليين على النظام.

هنا ذكر C0ldd, Hugo, Philip
أما الصفحة الرئيسية للموقع فما تحتوي على أي شيء مهم.

 

المفروض بقى دلوقتى
نستخدم wp-scan عشان يجمع لي معلومات عن الموقع مثل vulnerable themes, vulnerableplugins, users وهكذا

 

ونكمل دلوقتى عشان نعرف لو فيه أيه ثغرة ندخل من طريقها

طبعا العنوان يتغير بحسب الماشين بتاعتكم

طلع معانا 3 أسماء لمستخدمين وبالضبط مثل الأسماء اللي كانت في /hidden، وهذه الحركة موجودة كثير في الـCTF.

نرجع نستخدم wp-scan ونسوي brute force على هذولا المستخدمين الثلاثة، لكن قبل ما نبدأ لازم نحفظ أسمائهم في ملف عندي ونسميه مثلا users، كل اسم يكون في سطر لحاله. ثم نبدأ البحث عن كلمة السر:

اصبروا عليه شويتين وبيعطيكم كلمة السر لـc0ldd

 

نروح لـ/wp-admin ونسجل دخول

طيب دلوقتى دخلنا على الداشبورد ونبغى طريقة نحصل على shell، في طريقة ممتازة وسهلة، وكثير تضبط مع wordpress

الحين لو نلاحظ في الصفحة الموجود بالموقع فيه رقم فوق يدل على الصفحة

مثلا هذه صفحة واحد

لو جربنا وحطينا صفحة غير موجودة مثل 3، يعني نبدل رقم واحد ب 3

بيطلع لنا صفحة خطأ

 

ودلوقتى ايه رأيكم
لو غيرنا صفحة الخطأ هذه بـreverse shell ورجعنا عملنا تحديث لها، عشان تشغل الـshell ونحصل عليها على جهازنا ؟

 

نروح أول شيء على Appearance من الاختيارات الجانبية ومن هناك نختار Editor

إذا دخلنا على الـEditor بنلقي صفحات php متنوعة، ومنها صفحة الخطأ. نضغط عليها

الحين نحذف الكود اللي فيها ونجيب مكانه الـshell بتاعنا،
أنا استخدمت الـpentestmonkey php shell أخذتها من الموقع revshells

ثم لما ننسخ الكود في الصفحة نضغط على update

نجهز الـlistener علىجهازنا، ثم نروح ونعمل تحديث للصفحة 3

وبكذا بنحصل على shell للضحية على جهازنا

 

بس خدوا بالكوا يا شباب
لو أنت ضغط على CTRL+C
السيشن سوف تغلق معاك .. عشان كده أحنا لازم نثبتها علشان تبقى متينه معاك ولا تقفل ونحافظ على السيشن مفتوحة

 

بما إن الـvictim جهاز نواته linux فجدا سهل إننا نعمل stabilization للـshell، ليه يعني؟ يعني نخليها متينة وما تقفل أول ما نضغط ctrl+c ونقدر نستخدم الأسهم و tab completion وكذا

الخطوات كالتالي:
نشغل هذه الكوماند باستخدام python3 إذا ما ضبط عادي نجرب python

python3 -c 'import pty; pty.spawn("/bin/bash")'

بعدين هذه الكوماند

export TERM=xterm

ثم نضغط على الكيبورد ctrl+z عشان نخلي الـshell ترجع للخلفية
دلوقتى بقى نجيبها لقدام باستخدام هذه الكوماند

stty raw -echo;fg

دلوقتى بقى معانا stable shell نقدر نستخدمها براحتنا بدون ما نخاف إنها تطير أو تطفشنا إذا جينا نمسح ونعدل بالكلمات. إذا رجعت لكم الـshell ماهي منتظمة وبادية من نص السطر، بس شغلو أي كوماند مثل id وبترجع تضبط بإذن الله.

 

الخطوة اللى جاية بقى سكريبت حنرفعه على السيرفر ونجمع منه معلومات كتيييييير جدا

 

سكريبت جامد يا شباب .. نرفعه على سيرفر الضحيه وسوف تحصل على كمية معلومات كتير .. تقريبا سوف توفر عليك ساعات من البحث

 

نروح أول شيء للمجلد اللي في جهازنا اللي يحتوي على linpeas.sh ونشغل هذه

وعلى الضحية نروح لـ /tmp ونشغل هذه

ولما يوصل الملف نقفل الاتصال باستخدام ctrl+c على جهازنا.

نغير صلاحيات الملف ونخليه ملف تشغيلي chmod +x linpeas.sh وبعدين نشغله ونعطيه وقته ونشوف ايه يطلع معانا من نتائج

على بال ما linpeas.sh يشتغل، نروح نشوف المسح اللي سويناه على جميع البورتات

طلع معانا بورت إضافية وهي 4512، نسوي عليها سكان لوحدها عشان نشوف وش شغال عليها

sudo nmap IP -p 4512 -sV

طلع شغال عليها SSH

معناته بنشوف لو قدرنا نحصل على credentials من خلال linpeas.sh ممكن نستخدمها في تسجيل الدخول على الجهاز باستخدام SSH. صحيح إن احنا الحين داخلين ومعانا stable shell لكن برضو يضل اتصال SSH أفضل وأفضل.

خلص linpeas وحصلنا على كلمة سر لـc0ldd نجرب نستخدمها وندخل على SSH وفعلا دخلنا

نبحث عن الـuser flag بالمجلد الرئيسي وراح نلاقيه، وإذا عرضناه بنلاحظ إنه مشفر باستخدام base64، على العموم إنتم لما تعطون الإجابة بتعطونها بدون فك التشفير

بعد فك التشفير طلع معانا جملة إسبانية ومعاناتها مبروك أنهيت المرحلة الأولى