· Manuel López Pérez · writeups  · 2 min read

WriteUp - Poison (HackTheBox)

Write-up de Poison (HackTheBox): máquina FreeBSD sencilla que explota LFI en browse.php para envenenar logs de Apache y obtener RCE, extrae credenciales de pwdbackup.txt y escala a root vía VNC con contraseña filtrada.

Write-up de Poison (HackTheBox): máquina FreeBSD sencilla que explota LFI en browse.php para envenenar logs de Apache y obtener RCE, extrae credenciales de pwdbackup.txt y escala a root vía VNC con contraseña filtrada.

En este post haremos la máquina Poison de HackTheBox. Es una maquina FreeBSD de un nivel bajo Mi nick en HackTheBox es: manulqwerty Si tenéis alguna proposición o corrección no dudéis en dejar un comentario, así aprendemos todos.

Write-Up

Enumeración

Como siempre, lo primero sera un escaneo de puertos con nmap:

nmap -sC -sV 10.10.10.84

Vamos a revisar la web: Vemos que tenemos LFI en /browse.php : En este caso el nombre de la maquina parece darnos una pista y para obtener shell vamos a intentar envenenar los logs.

Explotación

Para esto vamos a usar el tutorial que escribimos hace unos meses: https://ironhackers.es/en/tutoriales/lfi-to-rce-envenenando-ssh-y-apache-logs/ Al tratarse de un FreeBSD nuestro fichero de logs será:

/var/log/httpd-access.log

Como veis hemos obtenido RCE facilmente envenenando los logs de apache. Vamos a obtener reverse shell: En el web server encontramos el fichero pwdbackup.txt, aun que no nos hacia falta esta shell para poder leerlo. Tal y como leemos, el contenido parece una contraseña encriptada al menos 13 veces en base 64. Vamos a desencriptarla:

for((i=0;i<13;i++)) do cat salida$i | base64 -d > salida$((i+1)) done

En el fichero /etc/passwd vemos que hay un usuario Charix que junto con esta pass nos servirá para acceder via SSH.

Post-Explotación

En el directorio /home/charix encontramos el fichero secret.zip, vamos a desencriptarlo con la contraseña anterior: Charix!2#4%6&8(0 Además revisando los procesos vemos que se está ejecutando Vnc Server: Revisemos los puertos locales con sockstat que es la alternativa de netstat para FreeBDS Vamos a redirigirnos el puerto a través de un SSH Tunnel y utilizar el fichero secret contenido en el secret.zip:

ssh -L 5901:localhost:5901 charix@10.10.10.84 vncviewer localhost:5901 -passwd secret

Share:
Back to Blog

Related Posts

View All Posts »
WriteUp - Poison (HackTheBox)

WriteUp - Poison (HackTheBox)

Poison write-up (HackTheBox): simple FreeBSD machine that exploits LFI in browse.php to poison Apache logs and obtain RCE, extracts credentials from pwdbackup.txt, and escalates to root via VNC with leaked password.

WriteUp - Fighter (HackTheBox)

WriteUp - Fighter (HackTheBox)

Write-up of Fighter (HackTheBox): medium-level Windows machine exploiting time-based SQLi to extract credentials, gets RCE via xp_cmdshell + msbuild NPS payload, and escalates to SYSTEM with Capcom.sys (CVE-2019-7253) + bypass of checks.

WriteUp - Fighter (HackTheBox)

WriteUp - Fighter (HackTheBox)

Write-up de Fighter (HackTheBox): máquina Windows de nivel medio que explota SQLi time-based para extraer credenciales, obtiene RCE vía xp_cmdshell + msbuild NPS payload y escala a SYSTEM con Capcom.sys (CVE-2019-7253) + bypass de checks.

WriteUp - Celestial (HackTheBox)

WriteUp - Celestial (HackTheBox)

Write-up of Celestial (HackTheBox). Low-level Linux machine that exploits an insecure cookie deserialisation in Node.js (CVE-2017-16137) to obtain RCE, then escalates to root by abusing a cron job that executes an editable script.