Artic HackTheBox (Writeup)

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard.

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

Adobe ColdFusion 8 Exploitation (Port 8500)

Nous observons un service d’administration accessible sur le port 8500 qui demande un nom d'utilisateur et un mot de passe pour se connecter à Adobe ColdFusion.

En recherchant des vulnérabilités associées dans searchsploit, nous trouvons un script d'exploitation pour une vulnérabilité de traversée de répertoires.

searchsploit -x multiple/remote/14641.py

Ce script révèle une vulnérabilité LFI permettant d'accéder au fichier contenant le mot de passe :

http://10.10.10.11:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../ColdFusion8/lib/password.properties%00en

Le fichier contient la valeur suivante pour le mot de passe :

password=2F635F6D20E3FDE0C53075A84B68FB07DCEC9B03

Crackage du Mot de Passe

CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.crackstation.net

En utilisant CrackStation, nous déchiffrons ce hash, et le mot de passe est happyday. Nous pouvons maintenant nous connecter avec succès.

Création d'une Tâche Planifiée Malveillante

Dans la section des tâches planifiées, nous allons créer une nouvelle tâche pour enregistrer un fichier malveillant dans le répertoire C:\ColdFusion8\wwwroot\CFIDE, auquel nous avons des droits en lecture/écriture.

Création du Fichier JSP : Puisque le serveur peut interpréter les fichiers JSP, nous allons générer un shell JSP avec msfvenom :

Ajout d'une Nouvelle Tâche : Nous configurons la tâche planifiée pour exécuter ce fichier malveillant.

Serveur HTTP pour Transférer le Fichier : Pour transférer le fichier JSP, nous lançons un serveur HTTP sur notre machine :

Mise en Écoute et Exécution du Shell : Nous nous mettons en écoute sur le port 443 pour recevoir le reverse shell, puis nous exécutons la tâche planifiée à l'adresse /CFIDE/ :

Flag user.txt :)

Élévation de Privilège

Abusing SeImpersonatePrivilege:

Nous avons constaté que l’utilisateur possède le privilège SeImpersonatePrivilege, ce qui le rend vulnérable à certaines techniques d'élévation de privilèges. La commande ci-dessous nous confirme la présence de ce privilège :

Pour exploiter cette vulnérabilité, nous utiliserons JuicyPotato, un outil bien connu pour abuser de ce privilège dans le contexte Windows.

Téléchargement des Outils Nécessaires

Release Fresh potatoes · ohpe/juicy-potatoGitHub

netcat 1.11 for Win32/Win64eternallybored.org

Démarrage d'un serveur HTTP sur notre machine d'attaque pour servir les fichiers:

Transfert des Fichiers vers la Machine Cible en utilisant certutil :

Exécution de JuicyPotato pour l’Élévation de Privilège

Nous allons maintenant exécuter JuicyPotato pour obtenir une session privilégiée. La commande suivante lance JuicyPotato, qui exécute cmd.exe avec des privilèges élevés et initie une connexion vers notre machine d'attaque via Netcat :

Connexion à la Session Élevée

Pour intercepter la connexion, nous nous mettons en écoute sur le port 1234 :

Flag root :)