Portfolio

Antique HackTheBox (Writeup)

LogoHack The Boxapp.hackthebox.com

Skills:

  • SNMP Enumeration

  • Network Printer Abuse

  • CUPS Administration Exploitation (ErrorLog)

  • EXTRA -> (DirtyPipe) [CVE-2022-0847]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Scan TCP:

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (23,7777)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

Scan UDP:

Recherche des ports ouverts avec Nmap :

Nous effectuons également un scan sur les ports UDP avec Nmap :

Nous extrayons à nouveau les résultats avec extractPorts, et nous observons l'ouverture du port 161, utilisé par SNMP.:

Exploration des Services

Port 23 (Telnet) – HP JetDirect

Lors de la tentative de connexion sur le port 23 via Telnet, nous rencontrons un service HP JetDirect qui nous demande un mot de passe. Nous pouvons tenter de nous connecter avec :

Port 161 (SNMP)

LogoPage not found - HackTricksbook.hacktricks.xyz

Nous utilisons snmpbulkwalk pour énumérer les services SNMP exposés sur le port 161 :

Cela nous donne une chaîne de caractères hexadécimale que nous convertissons en ASCII pour en obtenir le contenu lisible :

Cette chaîne contient des informations intéressantes, mais rien d'immédiatement utile pour l'exploitation.

En tentant d'injecter une chaîne comme mot de passe sur le port 23 (JetDirect), nous utilisons des tentatives telles que :

Network Printer Abuse

Nous avons détecté qu'il est possible d'exécuter des commandes à travers l'imprimante réseau. L'exploitation de cette vulnérabilité repose sur la commande exec qui permet d'injecter des commandes à distance. Par exemple :

Cela renvoie les informations d'identification système et permet l'exécution d'autres commandes.

Reverse Shell

Nous établissons une reverse shell en utilisant nc sur le port 443 de la machine attaquante :

Ensuite, nous manipulons la session shell pour obtenir un meilleur contrôle :

Flag user.txt :)

Élévation de Privilèges

1. Exploitation DirtyPipe

LogoGitHub - Arinerron/CVE-2022-0847-DirtyPipe-Exploit: A root exploit for CVE-2022-0847 (Dirty Pipe)GitHub

Nous avons vérifié si la machine était vulnérable à l'exploitation DirtyPipe, un bug qui permet de modifier les fichiers système en cours d'exécution. Nous avons trouvé que la machine disposait de gcc, un compilateur C, disponible à l'emplacement /usr/bin/gcc.

Ensuite, nous avons utilisé Python3 pour transférer l'exploit depuis notre machine locale vers la machine cible. Sur notre machine locale, nous avons lancé un serveur HTTP pour héberger l'exploit :

Sur la machine victime, nous avons téléchargé l'exploit :

Une fois l'exploit récupéré, nous avons compilé le fichier C avec gcc :

L'exploit modifie le fichier /etc/passwd en injectant un hash de mot de passe, et ajoute un utilisateur aaron avec un mot de passe spécifique, le tout pour permettre une élévation de privilèges.

Finalement, il suffit d'exécuter le script :

Cela nous permet d'obtenir un accès root à la machine

2. Redirection de Port avec Chisel

En inspectant les ports ouverts sur la machine cible, nous avons trouvé le port 631 (utilisé par CUPS). En utilisant la commande suivante, nous avons confirmé la présence d'un service CUPS :

Le service CUPS est en version 1.6.1 et nous avons identifié qu'il pourrait être vulnérable. Pour rediriger ce port, nous avons utilisé Chisel, un outil de tunneling.

Nous avons d'abord compilé Chisel sur notre machine locale :

LogoGitHub - jpillora/chisel: A fast TCP/UDP tunnel over HTTPGitHub

Ensuite, nous avons transféré l'exécutable Chisel vers la machine victime via un serveur HTTP Python3 :

Sur notre machine, nous avons démarré le serveur Chisel :

Puis, sur la machine victime, nous avons configuré le client Chisel pour rediriger le port 631 vers notre machine locale :

Cela nous permet d'accéder à l'interface web CUPS de la machine cible via un tunnel sécurisé.

Exploitation Vulnérabilité CUPS 1.6.1

Logometasploit-framework/modules/post/multi/escalate/cups_root_file_read.rb at master · rapid7/metasploit-frameworkGitHub

En utilisant cupsctl, nous avons modifié la configuration du service CUPS pour rediriger le fichier ErrorLog vers un fichier sensible, comme /etc/shadow. Cela permet de lire ce fichier en tant que root via l'interface web de CUPS.

Commande pour modifier la configuration :

Nous avons ensuite accédé à l'interface web de CUPS en visitant l'URL suivante sur le serveur CUPS via notre tunnel:

Cela a permis de visualiser le contenu du fichier /etc/shadow et d'obtenir le flag root.txt.

Flag root.txt :)

Mis à jour

Ce contenu vous a-t-il été utile ?