Keeper HackTheBox (Writeup)

Skills:

Abusing Request Tracker
Information Leakage
Obtaining KeePass password through memory dump [Privilege Escalation]

Reconaisssance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap : 22,80

nmap -p- --open -n -Pn -vvv --min-rate 5000 10.10.11.227 -oG allPorts

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.11.227 -oN targeted

Port 80

Nous découvrons le domaine keeper.htb et un sous-domaine tickets.keeper.htb.

Nous les ajoutons au fichier /etc/hosts :

Request Tracker CMS

En visitant tickets.keeper.htb, nous trouvons un panneau d'administration.

Nous testons les identifiants par défaut de Request Tracker :

Username: root  
Password: password

Connexion réussie !

Dans la section Admin → Users, nous trouvons un compte utilisateur :

User: [email protected]
Password: Welcome2023!

Connexion SSH

Nous utilisons les identifiants trouvés pour nous connecter en SSH :

ssh [email protected]

Flag user.txt :)

Élévation de privilèges

Dump de la base de données KeePass

Nous trouvons un fichier ZIP RT30000.zip que nous téléchargeons sur notre machine :

python3 -m http.server 8080

wget http://10.10.11.227:8080/RT30000.zip

Après extraction, nous obtenons :

KeePassDumpFull.dmp
passcodes.kdbx

Nous tentons d'ouvrir passcodes.kdbx avec KeePassXC :

keepassxc passcodes.kdbx

Il demande un mot de passe. Nous tentons un bruteforce avec John The Ripper, sans succès.

Keepass - analyse du dump mémoire

GitHub - matro7sh/keepass-dump-masterkey: Script to retrieve the master password of a keepass database <= 2.53.1GitHub

Nous exploitons le fichier .dmp avec un script Python :

python3 poc.py KeePassDumpFull.dmp

Cela révèle des caractères non lisibles. Une recherche en ligne nous mène à un mot de passe probable :

Résultat: rødgrød med fløde

Nous utilisons ce mot de passe pour déverrouiller KeePass, ce qui nous donne une clé chiffrée PuTTY et un mot de passe root.

Convertir la clé PuTTY en format OpenSSH

Nous devons convertir la clé PuTTY en format OpenSSH:

puttygen key.ppk -O private-openssh -o id_rsa

Ensuite, assurez-vous que votre clé privée a les bonnes permissions :

chmod 600 id_rsa

Se connecter au serveur SSH

ssh -i id_rsa [email protected]

Flag root.txt :)

Mis à jour il y a 1 an

hashtagReconaisssance

hashtagPort 80

hashtagRequest Tracker CMS

hashtagConnexion SSH

hashtagFlag user.txt :)

hashtagÉlévation de privilèges

hashtagDump de la base de données KeePass

hashtagKeepass - analyse du dump mémoire

hashtagConvertir la clé PuTTY en format OpenSSH

hashtagSe connecter au serveur SSH

hashtagFlag root.txt :)