Armageddon - HackTheBox
Comencé efectuando un escaneo con Nmap
para detectar puertos y servicios abiertos en el sistema.
┌──(root💀kali)-[/home/wackyh4cker/HTB/Armageddon]
└─$ nmap -sS --min-rate=5000 --open -v -n 10.10.10.233 -oN targeted
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-29 18:59 CEST
Initiating Ping Scan at 18:59
Scanning 10.10.10.233 [4 ports]
Completed Ping Scan at 18:59, 0.07s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 18:59
Scanning 10.10.10.233 [1000 ports]
Discovered open port 22/tcp on 10.10.10.233
Discovered open port 80/tcp on 10.10.10.233
Completed SYN Stealth Scan at 18:59, 0.68s elapsed (1000 total ports)
Nmap scan report for 10.10.10.233
Host is up (0.094s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.97 seconds
Raw packets sent: 1825 (80.276KB) | Rcvd: 1811 (72.436KB)
Hice otro escaneo para detectar la versión de cada servicio encontrado.
┌──(root💀kali)-[/home/wackyh4cker/HTB/Armageddon]
└─$ nmap -sC -sV -p22,80 10.10.10.233 -oN webscan
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-29 19:00 CEST
Nmap scan report for 10.10.10.233
Host is up (0.037s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey:
| 2048 82:c6:bb:c7:02:6a:93:bb:7c:cb:dd:9c:30:93:79:34 (RSA)
| 256 3a:ca:95:30:f3:12:d7:ca:45:05:bc:c7:f1:16:bb:fc (ECDSA)
|_ 256 7a:d4:b3:68:79:cf:62:8a:7d:5a:61:e7:06:0f:5f:33 (ED25519)
80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
|_http-generator: Drupal 7 (http://drupal.org)
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt
|_/LICENSE.txt /MAINTAINERS.txt
|_http-server-header: Apache/2.4.6 (CentOS) PHP/5.4.16
|_http-title: Welcome to Armageddon | Armageddon
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.31 seconds
Vi que tenía un servidor web, le eche un vistazo.
Encontré un CMS de Drupal, pense en buscar si había algún exploit y encontré el siguiente.
Lo ejecuté brindándole la URL del sitio web y me otorgo ejecución de código arbitrario.
Ahora solo faltaba entablarse una reverse Shell para ganar acceso a la máquina, probé con una reverse shel
’ de bash
pero me detectaba un “bad character”, por lo que tuve que hacer uso de una de python
.
Y recibí una conexión por netcat
Tras una pequeña investigación en Google
encontré que se guardan credenciales en un archivo llamado settings.php
.
Hice un filtrado por ese archivo con find
y encontré credenciales
Era un usuario y una contraseña, probé en SSH
pero no funciono, pero cuando probé en mysql
si funciono, pero se me quedaba colgado, por lo que tuve que ejecutar la sentencia en un mismo comando, probé a listar las tablas.
La tabla users
me llamo la atención por lo que seleccione name
y pass
de la columna users
y me reporto un hash
.
Lo pude crackear por fuerza bruta con john
.
┌──(root💀kali)-[/home/wackyh4cker/HTB/Armageddon/Drupalgeddon2]
└─$ john --wordlist=/usr/share/wordlists/rockyou.txt hash
Using default input encoding: UTF-8
Loaded 1 password hash (Drupal7, $S$ [SHA512 128/128 SSE2 2x])
Cost 1 (iteration count) is 32768 for all loaded hashes
Will run 2 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
booboo (?)
1g 0:00:00:01 DONE (2021-07-29 20:00) 0.7407g/s 171.8p/s 171.8c/s 171.8C/s courtney..harley
Use the "--show" option to display all of the cracked passwords reliably
Session completed
Esta credencial me autentico por SSH
haciendo uso del usuario del sistema brucetherealadmin
.
Ya pude visualizar la “flag” del usuario.
ESCALADA DE PRIVILEGIOS
Para la escalada de privilegios me permitía ejecutar snap
con permisos sudo
, busque en gtfobins y encontré que me podía aprovechar haciendo uso de sudo
.
Al ejecutar un comando me dio un problema que pude solucionar instalando la gema correspondiente.
┌──(root💀kali)-[/home/wackyh4cker/HTB/Armageddon/Drupalgeddon2]
└─$ gem install fpm
Ahora si me dejo crear el archivo .snap
malicioso en mí máquina, hice que se ejecute cat /root/root.txt
para ver la “flag” de root
.
Una vez exportado a la maquiná víctima hice uso del comando que me permitia ejcutar snap
con prilegios de sudo
y seleccionando mi .snap
seguido de los parametros --dangerous
y --devmode
y me reporto la “flag” en texto claro.
Leave a comment