Cap HackTheBox (Writeup)

Skills:

Insecure Directory Object Reference (IDOR)
Information Leakage
Abusing Capabilities (Python3.8) [Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.10.245 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (21,22,80)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p21,22,80 10.10.10.245 -oN targeted

Port 80 - HTTP

Nous accédons au service HTTP et découvrons une section intitulée Security Snapshot. Cette section permet de créer et de télécharger des fichiers pcap contenant des logs du système.

Vulnérabilité IDOR

Observation initiale

Après analyse des fichiers pcap avec Wireshark, aucun contenu directement exploitable n'est trouvé.

Cependant, nous remarquons qu'à chaque téléchargement d'un fichier, un snapshot est créé. L'URL correspondante contient un paramètre indiquant l'identifiant du snapshot, par exemple : snapshot_data=2.

En modifiant manuellement le paramètre de l'URL pour accéder au snapshot 0, nous obtenons un fichier contenant des informations sensibles.

Analyse avec Wireshark

En examinant les trames du fichier pcap, nous identifions les crédentials d'un utilisateur :

username: nathan
password: Buck3tH4TF0RM3!

Exploitation des crédentials

Accès FTP

Nous utilisons les crédentials pour nous connecter au service FTP :

Connexion réussie. Nous récupérons le fichier user.txt contenant la première flag.

Accès SSH

En testant les mêmes crédentials pour une connexion SSH, nous obtenons un accès complet :

ssh [email protected]
Buck3tH4TF0RM3!

Élévation de privilèges

Vulnérabilité Capabilites Python3.8

Filtrage des Capabilities:

Si nous filtrons par les capacités, Python 3.8 apparaît :

getcap -r / 2>/dev/null

Nous utilisons le site web gtfobins pour obtenir de l'aide.

python3.8 -c 'import os; os.setuid(0); os.system("/bin/sh")'

Flag root.txt :)

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?