M4ul3 H4ck – Hackeame MauleHack

Este retro nos presentan una url http://hackme-wp.m4ul3h4ck.cl/ además de la siguiente información

La pagina asociada es un wordpress sin protección ni monitoreo, como el 80% de las Web sobre wordpress en la actualidad. Todo esta ahí.

**Desafío 1:**  Consiga la contraseña del “Post Protegido” desde la base de datos MySQL. 
**Desafío 2: ** Consiga la contraseña de acceso de usuario.

con las respuestas construya la flag. 

Como sabemos que es un wordpress empezamos a enumerar con wpscan, además de revisar manualmente la web de lo cual nos percatamos que el servidor es un apache 2.4.53 montado en un debian, por otro lado vemos que hay robots.txt, por otro lado hay un post que indica como crear la flag

echo "PASSPOSTPASSUSER" | md5sum

Al revisar el robots.txt nos damos cuenta que ocultan /nogooglebot/ /backup/ y /backupbd/ al revisar estos directorios nos encontramos con el archivo /backupbd/backup-site.sql y lo empezamos a revisar

Viendo el documento obtenemos el pass del post protegido en la linea 224 el cual es «hackm3-wp.m4ul3h4ck.cl«, seguimos buscando (con el fin de obtener la segunda parte del desafío y obtenemos que hay 3 usuarios con el siguiente hash

rzamoran:$P$BUqhIpVYdvq2Fco5ghkNERFRnImci9n/
maule-hack2022:$P$BKCevw5Cp86INfdxaOJg4jck6DLvWo1
flag-user:$P$BlyneRnJdUYLUJ0SzW1SrnCIXIjM4R0

Con estos hash podemos usar hashcat para empezar a descifrar las contraseñas utilizando rockyou.txt con el comando

hashcat -O -m 400 -a 0 -o salida.txt –remove pass_wordpress.txt /usr/share/wordlists/rockyou.txt (pass_wordpress.txt son los hashes encontrados)

Luego nos devuelve que el hash del usuario flag-user es P@ssw0rd

Ya con los dos password, usamos el comando que nos informa el post y obtenemos 454e2be75c8bb5a15576abb31be59a73 y solo faltaría agregarlo en formato flag MH{454e2be75c8bb5a15576abb31be59a73}