search
Portfolio

linuxCat HackTheBox (WriteUp)

LogoHack The Boxapp.hackthebox.comchevron-right
circle-exclamation

Skills:

  • Directory Fuzzing (.git file)

  • Source Code Analysis (Git Repository Dump)

  • Stored XSS Exploitation & Session Hijacking

  • SQL Injection (SQLite) using sqlmap

  • Password Hash Cracking

  • Port Forwarding via SSH

  • Exploitation of Gitea (v1.22.0) – Stored XSS

  • Sensitive Data Exfiltration via XSS Payloads

hashtag
Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP:

hashtag
Port 80 - HTTP

En accédant au site http://cat.htb, on trouve un formulaire d’enregistrement.

On remarque également une fonctionnalité de vote.

Fuzzing des répertoires

On lance gobuster pour découvrir des chemins cachés :

Cela révèle plusieurs fichiers intéressants, notamment un répertoire .git.

Dump du dépôt Git

On utilise git-dumper pour récupérer le contenu du dépôt :

En inspectant le code source, on identifie une vulnérabilité SQL ainsi qu’une possibilité de XSS stockée.

hashtag
Vulnérabilité XSS

L’application accepte les champs nom d’utilisateur et email sans filtrage approprié. Cela permet l’injection de scripts malveillants.

Payload XSS

On crée un utilisateur avec le nom suivant :

Réception du cookie admin

On écoute sur le port 8081 :

Une fois le cookie capturé, on obtient la session de l’administrateur :

On modifie notre cookie de session pour celui de l’admin et accédons à la console d'administration.

hashtag
Injection SQL (SQLite)

Avec un accès admin, on lance sqlmap sur un formulaire vulnérable

Récupération des hashes

On obtient les hashs des mots de passe des utilisateurs. Voici quelques exemples :

Crack des mots de passe

À l’aide de CrackStationarrow-up-right, on réussit à identifier le mot de passe de l’utilisateur rosa :

LogoCrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.crackstation.netchevron-right

  • username : rosa

  • password : soyunaprincesarosa

Connexion SSH avec les identifiants récupérés :

hashtag
Pivoting User Axel

hashtag
Enumeration LinPEAS:

LogoRelease Release refs/heads/master 20250401-a1b119bc · peass-ng/PEASS-ngGitHubchevron-right

Rosa est dans le groupe adm, accès à:

Identifiants trouvés :

  • Username: axel

  • Password : aNdZwgC4tI9gnVXv_e3Q

hashtag
Flag user.txt :)

hashtag
Escalade de privilège

hashtag
Découverte de ports internes :

  • Node.js (port 3000)

  • SMTP (587, 25)

Services identifiés

hashtag
Redirection de ports

hashtag
Vulnérabilité XSS sur Gitea (v1.22.0)

Sur http://localhost:3000Gitea accessible.

Connexion avec les identifiants d’Axel.

Vulnérabilité XSS connue.

On crée un projet avec une description contenant :

  • Résultat:

hashtag
Mail intercepté via LinPEAS

Contenu d’un email :

  • jobert@localhost doit vérifier le dépôt Gitea

On envoie un lien XSS contenant un script d’exfiltration qui lit le contenu de la page index.php du dépôt Gitea, l’encode en Base64, puis l’envoie vers notre serveur web

hashtag
Via notre serveur web

hashtag
Contenu exfiltré (base64 décodé) :

  • $valid_username = 'admin';

  • $valid_password = 'IKw75eR0MR7CMIxhH0';

hashtag
Escalade root

Il y a une réutilisation d'identifants pour l'user root

hashtag
Flag root.txt :)

Mis à jour