Armageddon - HackTheBox

Comencé efectuando un escaneo con Nmap para detectar puertos y servicios abiertos en el sistema.

┌──(root💀kali)-[/home/wackyh4cker/HTB/Armageddon]
└─$ nmap -sS --min-rate=5000 --open -v -n 10.10.10.233 -oN targeted            	 
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-29 18:59 CEST
Initiating Ping Scan at 18:59
Scanning 10.10.10.233 [4 ports]
Completed Ping Scan at 18:59, 0.07s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 18:59
Scanning 10.10.10.233 [1000 ports]
Discovered open port 22/tcp on 10.10.10.233
Discovered open port 80/tcp on 10.10.10.233
Completed SYN Stealth Scan at 18:59, 0.68s elapsed (1000 total ports)
Nmap scan report for 10.10.10.233
Host is up (0.094s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.97 seconds
       	Raw packets sent: 1825 (80.276KB) | Rcvd: 1811 (72.436KB)

Hice otro escaneo para detectar la versión de cada servicio encontrado.

┌──(root💀kali)-[/home/wackyh4cker/HTB/Armageddon]
└─$ nmap -sC -sV -p22,80 10.10.10.233 -oN webscan             	 
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-29 19:00 CEST
Nmap scan report for 10.10.10.233
Host is up (0.037s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh 	OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey:
|   2048 82:c6:bb:c7:02:6a:93:bb:7c:cb:dd:9c:30:93:79:34 (RSA)
|   256 3a:ca:95:30:f3:12:d7:ca:45:05:bc:c7:f1:16:bb:fc (ECDSA)
|_  256 7a:d4:b3:68:79:cf:62:8a:7d:5a:61:e7:06:0f:5f:33 (ED25519)
80/tcp open  http	Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
|_http-generator: Drupal 7 (http://drupal.org)
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt
|_/LICENSE.txt /MAINTAINERS.txt
|_http-server-header: Apache/2.4.6 (CentOS) PHP/5.4.16
|_http-title: Welcome to  Armageddon |  Armageddon

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.31 seconds

Vi que tenía un servidor web, le eche un vistazo.

Encontré un CMS de Drupal, pense en buscar si había algún exploit y encontré el siguiente.

Lo ejecuté brindándole la URL del sitio web y me otorgo ejecución de código arbitrario.

Ahora solo faltaba entablarse una reverse Shell para ganar acceso a la máquina, probé con una reverse shel’ de bash pero me detectaba un “bad character”, por lo que tuve que hacer uso de una de python.

Y recibí una conexión por netcat

Tras una pequeña investigación en Google encontré que se guardan credenciales en un archivo llamado settings.php.

Hice un filtrado por ese archivo con find y encontré credenciales

Era un usuario y una contraseña, probé en SSH pero no funciono, pero cuando probé en mysql si funciono, pero se me quedaba colgado, por lo que tuve que ejecutar la sentencia en un mismo comando, probé a listar las tablas.

La tabla users me llamo la atención por lo que seleccione name y pass de la columna users y me reporto un hash.

Lo pude crackear por fuerza bruta con john.

┌──(root💀kali)-[/home/wackyh4cker/HTB/Armageddon/Drupalgeddon2]
└─$ john --wordlist=/usr/share/wordlists/rockyou.txt hash                                                                                                	 
Using default input encoding: UTF-8
Loaded 1 password hash (Drupal7, $S$ [SHA512 128/128 SSE2 2x])
Cost 1 (iteration count) is 32768 for all loaded hashes
Will run 2 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
booboo       	(?)
1g 0:00:00:01 DONE (2021-07-29 20:00) 0.7407g/s 171.8p/s 171.8c/s 171.8C/s courtney..harley
Use the "--show" option to display all of the cracked passwords reliably
Session completed

Esta credencial me autentico por SSH haciendo uso del usuario del sistema brucetherealadmin.

Ya pude visualizar la “flag” del usuario.

---

ESCALADA DE PRIVILEGIOS

Para la escalada de privilegios me permitía ejecutar snap con permisos sudo, busque en gtfobins y encontré que me podía aprovechar haciendo uso de sudo.

Al ejecutar un comando me dio un problema que pude solucionar instalando la gema correspondiente.

┌──(root💀kali)-[/home/wackyh4cker/HTB/Armageddon/Drupalgeddon2]
└─$ gem install fpm

Ahora si me dejo crear el archivo .snap malicioso en mí máquina, hice que se ejecute cat /root/root.txt para ver la “flag” de root.

Una vez exportado a la maquiná víctima hice uso del comando que me permitia ejcutar snap con prilegios de sudo y seleccionando mi .snap seguido de los parametros --dangerous y --devmode y me reporto la “flag” en texto claro.