Portfolio

Chaos HackTheBox (Writeup)

LogoHack The Boxapp.hackthebox.com

Skills:

  • Password Guessing

  • Abusing e-mail service (claws-mail)

  • Crypto Challenge (Decrypt Secret Message - AES Encrypted)

  • LaTeX Injection (RCE)

  • Bypassing rbash (Restricted Bash)

  • Extracting Credentials from Firefox Profile

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Analyse des ports ouverts avec extractPorts (80,110,143,993,995,10000)

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard.

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

Exploitation

Port 80 - Web Enumeration

L'accès direct via l'IP est bloqué. Nous ajoutons donc le domaine chaos.htb dans /etc/hosts.

Fuzzing des Directoires

Aucun résultat.

Fuzzing via l'adresse IP :

Nous trouvons un dossier /wp indiquant WordPress.

Ajout du sous-domaine wordpress.chaos.htb dans /etc/hosts.

WordPress Enumeration

Nous trouvons un utilisateur Human sur WordPress.

Password Guessing

Un article WordPress contient un mot de passe. Nous testons Human et cela fonctionne.

Nous trouvons des identifiants pour un webmail :

  • username: ayush

  • password: jiujitsu

Port 993/995 - Webmail

Le port 993 indique un serveur de mail IMAP.

Nous utilisons claws-mail pour accéder à la boîte mail d'Ayush.

Dans un mail, nous trouvons deux fichiers attachés et le message :

Salut, Sahay

Vérifie le fichier enmsg.txt. Tu es le mot de passe XD. J’ai aussi joint le script que j’ai utilisé pour chiffrer. Merci

Decrypt Secret Message - AES Encrypted

Nous avons identifié un script decrypt.py sur GitHub, qui appartient au même projet

LogoFile-Encryption-Script/decrypt.py at master · vj0shii/File-Encryption-ScriptGitHub

On execute:

Le contenu est décodé avec base64 :

Le message révèle un service LaTeX sur http://chaos.htb/J00_w1ll_f1Nd_n07H1n9_H3r3

Salut Sahay,

Veuillez découvrir notre nouveau service qui crée des PDF.

P.S. – Comme tu me l'as conseillé, j'ai chiffré le message important. 😊

http://chaos.htb/J00_w1ll_f1Nd_n07H1n9_H3r3

Contrôles de blocage

Merci, Ayush

Thanks, Ayush

LaTeX Injection Vulnerabilité

LaTeX Injection (file reader)

Nous interceptons la requête

Document PDF LaTeX:

Nous injectons :

Exploitation RCE via LaTeX

Nous exécutons une commande id via :

Reverse Shell

Nous écoutons sur le port 443 :

Nous créons un script bash index.html :

Nous lançons un serveur web :

Injection du payload :

Élévation de Privilège

Pivoting User Ayush - Bypass rbash

Nous nous connectons en tant qu’Ayush, mais nous sommes limités à une shell rbash.

Liste des commandes disponibles :

Nous trouvons tar et contournons rbash avec :

Logotar | GTFOBinsgtfobins.github.io

Flag user.txt :)

Nous obtenons l’accès à un shell complet et récupérons user.txt.

Extraction des Credentials Firefox

Dans le dossier .mozilla d’Ayush, nous trouvons key4.db et logins.json.

Nous les transférons vers notre machine :

Déchiffrement des identifiants avec firefox_decrypt.py :

LogoGitHub - unode/firefox_decrypt: Firefox Decrypt is a tool to extract passwords from Mozilla (Firefox™, Waterfox™, Thunderbird®, SeaMonkey®) profilesGitHub

Nous entrons jiujitsu comme mot de passe principal et récupérons :

Mot de passe principal pour le profil chaos.htb:8080/bzo7sjt1.default

Website: https://chaos.htb:10000

Username: 'root' Password: 'Thiv8wrej~

Connexion en tant que root :

Flag root.txt

Mis à jour

Ce contenu vous a-t-il été utile ?