Machine 1: Agile (Medium)

Enumeration

1. Scan all port using nmap

• Như vậy server có 2 port 22 và 80 open

+ Port 22: Chạy dịch vụ SSH với version OpenSSH 8.9p1

+ Port 80 chạy dịch vụ http với version nginx 1.18.0, domain superpass.htb

1. Khám phá HTTP:

• Sử dụng gobuster để tìm tệp và đường dẫn ẩn:

Như vậy có 3 path được tìm thấy là download, static, vault

• Truy cập trang web trên browser thấy : đây là một trang web tạo mật khẩu cho đường link.

• Đăng kí 1 tài khoản và đăng nhập:

  
• Sử dụng Burp suite bắt được request như sau:

  
• Đây là nơi có thể tải được thông tin sau khi export. Xác định ở đây có lỗ hổng FLI:

• Tiến hành đọc file mã nguồn của trang web :

• Phát hiện ở đây có 1 request tới URL /vault/row/(id) . Ở đây ta có thể xem được thông tin tài khoản của các id tồn tại. Như vậy, ở đây xác định lỗ hổng IDOR ( có thể xem thông tin tài khoản của một người bất kì mà không cần xác thực người dùng)

• Như vậy, ở đây ta xác định được thông tin đăng nhập của người dùng corum.

Flag 1

• Xác định có 3 người dùng ở home:

• Lấy thông tin đăng nhập vừa tìm được ở trên để đăng nhập vào server qua dịch vụ ssh và lấy được cờ đầu tiên.

Flag 2

• Truy xuất thông tin tệp : /etc/hosts

  
• Thấy rằng có 1 subdomain đặc biệt chạy ở localhost (127.0.0.1). Không thể truy cập subdomain này ở máy agile. Để truy cập được ở máy tấn công, cần phải Forward Port.

• Xác định port đúng mà subdomain kia đã chạy :

  

  Như vậy, subdomain chạy trên port 5555

• Bây giờ, có thể truy cập test.superpass.htb bằng localhost:8632 trên máy của attacker

• Xác định trang web bị IDOR và ta có thể xem thông tin cá nhân của người dùng khác.

• Truy cập server thông qua SSH với người dùng edwards

Xác định quyền của người dùng với câu lệnh sudo -l . Liệt kê các lệnh mà edwardsngười dùng được phép chạy với sudo. Trong trường hợp này, người dùng được phép chạy sudoedit(một lệnh cho phép chỉnh sửa các tệp có đặc quyền nâng cao) trên hai tệp: /app/config_test.jsonvà /app/app-testing/tests/functional/creds.txt. Các lệnh được giới hạn trong dev_adminnhóm, có nghĩa là edwardschỉ có thể chạy các lệnh này với tư cách là thành viên của nhóm đó.

Xác định được phiên bản sudo mà server đang chạy là 1.9.9. Xác định được đây là phiên bản dính lỗ hổng CVE-2023-22809 . Sudoedit bypass in Sudo <= 1.9.12p1. Một chính sách bỏ qua sudoers trong phiên bản Sudo 1.9.12p1 khi sử dụng sudoedit. Lỗ hổng này có thể dẫn đến leo thang đặc quyền bằng cách chỉnh sửa các tệp trái phép.

Miêu tả : Sudo sử dụng các biến môi trường do người dùng cung cấp để cho phép người dùng chọn trình chỉnh sửa của họ. Nội dung trong số các biến này mở rộng lệnh thực tế được truyền cho hàm sudo_edit(). Tuy nhiên, các cái sau dựa vào sự hiện diện của đối số -- để xác định danh sách các tệp cần chỉnh sửa. Việc tiêm một bổ sung -- đối số trong một trong các biến môi trường được ủy quyền có thể thay đổi danh sách này và dẫn đến đặc quyền leo thang bằng cách chỉnh sửa bất kỳ tệp nào khác có đặc quyền của người dùng RunAs. Sự cố này xảy ra sau khi sudoers xác thực chính sách.

• Leo thang đặc quyền :

1. Xác định lỗ hổng : Tạo biến môi trường và thực thi

Như vậy, câu lệnh nhập vào của chúng ta được in ra.

Đặc quyền người dùng edwards đã được thêm.

Leo thang đặc quyền root thành công.