- vừa được xem lúc

[Hackthebox] Tabby and Doctors Writeups

0 0 41

Người đăng: Dong Vu Viet

Theo Viblo Asia

Tiếp tục là series về các bài writeups hackthebox mà mình làm được. Vì 2 bài này thuộc loại dễ và ngắn nên mình quyết định sẽ gộp chung vào 1 bài luôn.

A. Tabby

I. Thông tin chung về box

II. Reconnaissance

1. Quét dịch vụ với nmap

2. User Flag

Khai thác lỗ hổng "Path traversal" tại cổng 80

Khi tới cổng web 80, chúng ta có thể thấy một trang megahosting và rất nhiều request được gửi tới 1 tên miền megahosting.htb.

Sau khi thêm tên miền trên và địa chỉ của box vào file /etc/hosts, chúng ta có thể sử dụng các dịch vụ của trang web. Ở phần news, mình để ý tới 1 pattern file=statement rất dễ có lỗi path traversal. Thế là thử tiêm một payload đơn giản như là ../../../../../../../../../etc/passwd, thì quả nhiên là có lỗ hổng này.

Tiếp đó, tại web cổng 8080, chúng ta có thể đọc được cấu hình đường dẫn của server tomcat:

Dựa vào đó, ta có thể đọc được file tomcat_users.txt, chúng ta có thể có được tài khoản manager với quyền manager script

Khai thác quyền manager script của tomcat

Quyền manager script của tomcat cho phép người dùng sử dụng các lệnh tại /manager/text:

Trong số các lệnh có thể dùng, lệnh nguy hiểm nhất có thể khai thác là deploy. Lệnh này cho phép manager có thể deploy file lên server. Thế nên giờ chúng ta có thể tạo một file war shell và deploy lên để lấy được reverse shell

Lấy thông tin đăng nhập tài khoản user

Sau khi có shell, lục lọi trong box này mình tìm được 1 file tên backup khả nghi là

Tải file này xuống tại http://10.10.10.194/files/16162020_backup.zip

Sau đó bruteforce mật khẩu file này :

Tuy nhiên trong thư mục giải nén ra không có gì khai thác được. Thông thường, người dùng sẽ dùng chung một mật khẩu ở nhiều nơi khác nhau, nên thử dùng mật khẩu này đăng nhập vào tài khoản ash:

Thế là ta có user flag

Root Flag

User ash thuộc group lxd. Lxd tồn tại 1 lỗ hổng cho phép leo quyền. Có thể xem cách khai thác trong bài viết hackingarticle.

Sau khi follow theo bài trên, mình đã mount được 1 image lên target:

Giờ sử dụng image đó và lấy root thôi.

B. Doctors

I. Thông tin chung về box

II. Reconnaissance

III. User Flag

Đầu tiên là truy cập vào cổng web 80 của machine. Ở đây, chú ý email _@.com, thử truy cập tới machine theo domain name (doctors.htb) thì ta sẽ nhận được 1 trang đăng nhập

Sau khi tạo tài khoản và đăng nhập vào hệ thống, ta sẽ có 1 trang và có phần tạo message như hình

Chú ý trong source html của trang web có 1 phần comment:

Tại đường dẫn /archive, trang web sẽ render lại title của message. Thử vài loại payload thì ta sẽ thấy trang này có lỗi Server Side Template Injection.

Giờ thì sử dụng lỗi này để lên shell thôi

Sau khi lục lọi trong machine chán chê thì trong /var/log có 1 file backup đáng ngờ. Đọc file này sẽ thấy 1 request reset password duy nhất với email Guitar123.

IV. Root Flag

Thử dùng luôn email đó làm password cho người dùng shaun thì được luôn ?))). Tiếp theo, sau 1 hồi tìm kiếm thì tài khoản này không có gì đặc sắc lắm. Tuy nhiên trong các tiến trình đang chạy thì có 1 dịch vụ khá đáng chú ý (cổng 8089).

Splunk forwarder có 1 lỗ hổng cho phép người dùng leo quyền nếu cấu hình không đúng. Ở đây, ta có thể sử dụng công cụ SplunkWhisperer2 để khai thác lỗ hổng này

Bình luận

Bài viết tương tự

- vừa được xem lúc

Linux Hardening and System Auditing (P1)

. Ngày nay, các hệ thống Linux được sử dụng trong suốt quá trình tính toán, từ các hệ thống nhúng đến hầu như tất cả các siêu máy tính, đồng thời đảm bảo một vị trí quan trọng trong các hệ thống máy chủ trên toàn thế giới. Linux đem lại cho người dùng khả năng tùy biến cao, sự ổn định và độ tin cậy

0 0 43

- vừa được xem lúc

Tìm bug với Eyewitness

. Chào các bạn, trong bài này mình sẽ viết về tool Eyewitness. Eyewiteness có tính năng chính là chụp hình lại giao diện trang web sau đó tạo một report thông qua file .

0 0 35

- vừa được xem lúc

Tôi đã debug code PHP như nào!

. Nhân dịp đầu xuân năm mới, mình xin gửi lời chúc an lành tới tất cả thành viên của viblo.asia.

0 0 57

- vừa được xem lúc

OAuth 2.0 và vài vấn đề bảo mật liên quan (Phần 2)

III. Demo một số tấn công vào cơ chế OAuth. Trong phần này mình sẽ demo một số kiểu tấn công của OAuth dựa trên các bài lab được thiết kế bởi Portswigger. a.

0 0 97

- vừa được xem lúc

OAuth 2.0 và vài vấn đề bảo mật liên quan (Phần 1)

Trong thời đại công nghệ ngày nay, việc đăng nhập bằng các tài khoản của các nền tảng khác không phải điều gì xa lạ đối với mỗi người dùng chúng ta. Việc này khả thi nhờ một vài cơ chế khác nhau, một trong số đó là OAuth 2.

0 0 50

- vừa được xem lúc

Hành trình pass OSCP trong lần thi đầu tiên (2020)

Vào một chiều đông 17/12/2020, tôi nhận được cái email thông báo đã pass OSCP ngay lần thử đầu tiên. Sau đó, tôi bắt đầu tìm hiểu về Security và quyết định học cái gì đó cho riêng mình.

0 0 195