domingo, 6 de agosto de 2017

Writeup THISISLEGAL.COM #7 - Hack a FrontPage Server site


Arrancando el domingo con un interesante reto, hackear un sitio con "FrontPage Server".


El reto consiste en encontrar un exploit que afecta a esta versión de FrontPage Server, mas abajo "realzado con el ratón" nos dejan una pista.

Hacemos clic en "Begin Challenge" para continuar con el reto.


Se nos abre la página web y pulsamos en el apartado "Admin".

Dentro, tenemos un sistema de autenticación por medio de un usuario y una contraseña.

Ya tenemos claro el reto, debemos de encontrar la forma de obtener el usuario y contraseña para poder acceder al sitio.


Buscando por Google con la palabra "Vermee Technology Inc" podemos encontrar que tiene una vulnerabilidad en un directorio (/_vti_pvt/).

Buscamos ese directorio en el enlace y nos lleva a un interesante archivo llamado "administrators.pwd".


Descargamos dicho archivo y lo ejecutamos, vemos que tiene un usuario llamado "admin" y una password tras un hash.


Usamos nuestro amigo "John The Ripper" para descifrar el hash y obtener la contraseña.

Vemos que el usuario es "admin" y que la password es "a1b2c3".

Regresamos al sistema de login y ponemos las credenciales.


Perfecto! Reto finalizado.
Previous Post
Next Post

post written by:

0 comentarios: