search
Portfolio

linuxPrevise HackTheBox (WriteUp)

LogoHack The Boxapp.hackthebox.comchevron-right
circle-exclamation

Skills:

  • Web Enumeration

  • Execution After Redirect (EAR) Vulnerability - Skipping Redirects

  • PHP Source Code Analysis

  • Command Injection (RCE)

  • Information Leakage

  • Database Enumeration

  • Cracking Hashes

  • Abusing Sudoers Privilege + PATH Hijacking [Privilege Escalation]

hashtag
Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

Scan de la version des ports avec Nmap 22,80:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

hashtag
Port 80 - HTTP

Nous trouvons une page de connexion nécessitant un login et un mot de passe.

hashtag
Fuzzing des répertoires et fichiers PHP

Étant donné la présence d'un fichier PHP, il est probable qu'il y en ait d'autres :

hashtag
Vulnérabilité EAR (Execution After Redirect) - Skipping Redirects

Nous trouvons plusieurs pages contenant du contenu mais redirigeant vers la page de connexion.

Nous interceptons la requête à nav.php avec Burp Suite et observons une redirection 302.

En forçant la réponse à 200 OK, nous accédons directement à la page accounts.

Nous créons une règle dans Burp Suite pour modifier automatiquement les réponses 302 Found en 200 OK.

Nous créons ensuite un utilisateur jordan et nous nous connectons.

hashtag
Analyse des fichiers récupérés

Nous téléchargeons un fichier trouvé sur /files :

Nous trouvons plusieurs fichiers PHP et observons que logs.php utilise la fonction exec() sans aucune validation :

hashtag
Exploitation de la Command Injection (RCE)

Nous interceptons la requête vers file_logs.php et injectons une commande via le paramètre delim :

Nous recevons une connexion.

hashtag
Reverse Shell

Nous créons un fichier index.html contenant :

Nous lançons un serveur web Python :

Nous mettons en écoute notre machine sur le port 443 :

Nous exécutons la commande suivante pour récupérer le reverse shell :

Nous sommes maintenant l'utilisateur www-data.

hashtag
Amélioration du Shell

hashtag
Élévation de privilèges

hashtag
Pivoting utilisateur m4lwhere

Nous trouvons un fichier contenant des identifiants :

  • $user : root

  • $passwd : mySQL_p@ssw0rd!:)

Nous nous connectons à la base de données MySQL :

Nous listons les bases de données :

Nous trouvons la base previse, que nous utilisons:

Nous explorons la table accounts :

Nous trouvons :

  • username: m4lwhere

  • password: $1$🧂llol$DQpmdvnb7EeuO6UaqRItf.

hashtag
Cracking du Hash

Nous utilisons Hashcat pour le décrypter :

Mot de passe trouvé :

  • password : ilovecody112235!

Nous nous connectons en tant que m4lwhere.

hashtag
Flag user.txt :)

hashtag
PATH Hijacking (gzip)

Nous listons les permissions sudo :

Nous trouvons un script exécutable en tant que root utilisant gzip sans chemin absolu.

hashtag
Création d'un binaire malveillant

Nous créons un fichier gzip malveillant dans /tmp/ :

Nous modifions la variable PATH pour prioriser /tmp/ :

Nous exécutons le script en tant que root :

hashtag
Flag root.txt :)

Mis à jour