Portfolio

Pandora HackTheBox (Writeup)

LogoHack The Boxapp.hackthebox.com

Skills:

  • SNMP Fast Enumeration

  • Information Leakage

  • Local Port Forwarding

  • SQL Injection - Admin Session Hijacking

  • PandoraFMS v7.0NG Authenticated Remote Code Execution [CVE-2019-20224]

  • Abusing Custom Binary - PATH Hijacking [Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

TCP:

Recherche des ports ouverts TCP avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,80)

Scan de la version des ports TCP avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

Port 80:

Nous avons utilisé whatweb pour identifier les technologies utilisées par le serveur web :

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP

UDP:

Recherche des ports ouverts UDP avec Nmap :

Nous effectuons également un scan sur les ports UDP avec Nmap :

on decouvre le port 161 SNMP, 17185, 49201

Scan de la version des ports UDP avec Nmap:

Utilisation de Nmap pour scanner la version des ports UDP et extraction des informations dans le fichier "targeted" :

Découverte d'informations sensibles via SNMP, notamment un utilisateur :

  • daniel

  • Mot de passe : HotelBabylon23.

Port 161 - SNMP

LogoPage not found - HackTricksbook.hacktricks.xyz

Énumération SNMP

Pour examiner les services SNMP exposés, nous avons utilisé la commande suivante

  • En analysant le contenu de snmpcontent.txt, nous avons découvert des informations sensibles, notamment des identifiants valides :

    • Utilisateur : daniel

    • Mot de passe : HotelBabylon23

Avec les informations récupérées, nous avons établi une connexion SSH à la machine cible :

Élévation de Privilèges

Recherche Initiale

En explorant les répertoires accessibles à l'utilisateur daniel, nous avons identifié des fichiers et dossiers intéressants dans le chemin suivant : /var/www/pandora

Ce répertoire contient le site web PandoraFMS, qui ne semble pas accessible directement depuis l'extérieur.

Redirection de Port

Pour accéder à l'interface PandoraFMS via notre machine locale, nous avons configuré un tunnel SSH :

Exploitation Pandora FMS - SQL Injection

SQL Injection : Hijacking de Session Admin

Cette commande redirige les requêtes HTTP locales vers le serveur web interne.

Version détectée : v7.0NG.742_FIX_PERL2020.

LogoGitHub - shyam0904a/Pandora_v7.0NG.742_exploit_unauthenticated: Unauthenticated Sqlinjection that leads to dump data base but this one impersonated Admin and drops a interactive shellGitHub

Vulnérabilité connue sur chart_generator.php via la variable session_id :

Exécution de l’injection SQL pour usurper une session administrateur :

  • Cette commande renvoie un cookie de session admin.

Utilisation du cookie pour accéder au tableau de bord en tant qu'administrateur.

Exécution de Code à Distance (RCE) - [CVE-2019-20224]

Navigation vers File Manager.

Téléversement d’un fichier malveillant PHP :

  • Fichier accessible via http://127.0.0.1/pandora_console/images/cmd.php.

Exécution d’un reverse shell :

  • Mise en écoute locale :

  • Exécution de la commande sur le serveur cible :

Accès obtenu en tant qu'utilisateur matt.

Préparation du Terminal :

Permet un confort d’utilisation accru dans un terminal interactif.

Flag User.txt :)

PATH Hijacking - Abusing Custom Binary

Recherche de Binaires avec Permissions SUID

Résultat : Un fichier binaire intéressant a été trouvé : /usr/bin/pandora_backup.

Analyse du Binaire avec ltrace

Pour comprendre le fonctionnement du binaire, nous avons utilisé ltrace (un outil de traçage des appels systèmes) pour observer les appels système effectués par ce binaire :

Cela nous a permis de constater que le binaire exécutait la commande tar sans utiliser de chemin absolu pour l'exécutable, ce qui crée une vulnérabilité potentielle. En d'autres termes, si nous modifions notre PATH pour inclure un répertoire contenant un exécutable malveillant appelé tar, celui-ci serait exécuté à la place de l'original.

Exploitation via PATH Hijacking

Création d’un fichier tar malveillant : Nous avons créé un fichier nommé tar dans le répertoire /tmp/ avec les permissions d'exécution SUID. Ce fichier contient une commande pour ouvrir un shell bash avec des privilèges élevés :

Modification de la variable PATH : Pour forcer le système à utiliser notre version malveillante de tar, nous avons modifié la variable PATH de manière à prioriser le répertoire /tmp/

Exécution du binaire vulnérable : Après avoir modifié le PATH, nous avons exécuté le binaire pandora_backup :

Grâce à l'exécution de notre version modifiée de tar, un shell Bash avec des privilèges élevés a été ouvert, nous donnant ainsi l'accès root.

Flag root.txt :)

Mis à jour

Ce contenu vous a-t-il été utile ?