Power belongs to the people who take it

WriteUp – Poison (HackTheBox)

En este post haremos la máquina Poison de HackTheBox. Es una maquina FreeBSD de un nivel bajo

Mi nick en HackTheBox es: manulqwerty
Si tenéis alguna proposición o corrección no dudéis en dejar un comentario, así aprendemos todos.

Write-Up

Enumeración

Como siempre, lo primero sera un escaneo de puertos con nmap:

nmap -sC -sV 10.10.10.84


Vamos a revisar la web:

Vemos que tenemos LFI en /browse.php :

En este caso el nombre de la maquina parece darnos una pista y para obtener shell vamos a intentar envenenar los logs.

Explotación

Para esto vamos a usar el tutorial que escribimos hace unos meses: https://ironhackers.es/en/tutoriales/lfi-to-rce-envenenando-ssh-y-apache-logs/
Al tratarse de un FreeBSD nuestro fichero de logs será:

/var/log/httpd-access.log


Como veis hemos obtenido RCE facilmente envenenando los logs de apache. Vamos a obtener reverse shell:

En el web server encontramos el fichero pwdbackup.txt, aun que no nos hacia falta esta shell para poder leerlo.

Tal y como leemos, el contenido parece una contraseña encriptada al menos 13 veces en base 64. Vamos a desencriptarla:

for((i=0;i<13;i++))
do
cat salida$i | base64 -d > salida$((i+1))
done


En el fichero /etc/passwd vemos que hay un usuario Charix que junto con esta pass nos servirá para acceder via SSH.

Post-Explotación

En el directorio /home/charix encontramos el fichero secret.zip, vamos a desencriptarlo con la contraseña anterior: Charix!2#4%6&8(0
Además revisando los procesos vemos que se está ejecutando Vnc Server:

Revisemos los puertos locales con sockstat que es la alternativa de netstat para FreeBDS

Vamos a redirigirnos el puerto a través de un SSH Tunnel y utilizar el fichero secret contenido en el secret.zip:

ssh -L 5901:localhost:5901 [email protected]
vncviewer localhost:5901 -passwd secret


¿Me ayudas a compatirlo?

5 comentarios

  1. Andres

    ¡Excelente!

  2. Barandillas de acero en Barcelona

    It’s not my first time to go to see this web page, i am browsing this web page
    dailly and obtain good data from here every day.

  3. Quiromasajes En Manresa

    Hiya very nice site!! Man .. Excellent .. Amazing ..
    I’ll bookmark your web site and take the feeds additionally?
    I’m glad to seek out so many useful info here within the put up, we want
    develop extra techniques in this regard, thanks for
    sharing. . . . . .

  4. rene

    donde descargo las máquinas box de hackthebox

  5. Tana

    Interesting method.
    Let’s try if it works in my virtual Machine and can run the vnc server

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

© 2024 ironHackers

Tema por Anders NorenArriba ↑