Bentornati su Exploitnetworking! Oggi vedremo il writeup della macchina Sunday di Hack The Box. Questa macchina era piuttosto facile, poiché grazie ad un semplice nmap era possibile trovare i nomi degli utenti nel sistema ed entrare dentro, e con qualche semplice trick era possibile ottenere facilmente l’utente root.

Il primo passo come sempre è una scansione con nmap:

Copy to Clipboard

Come possiamo vedere ci sono due porte aperte tra cui la 79 con il servizio finger. Questo servizio è un demone che gira sui sistemi Solaris, il servizio determina quali utenti sono collegati al sistema e possiamo vedere che in questo momento ci sono tre utenti collegati: due utenti con l’account sammy e un utente con l’account sunny.

Se non sono stati riportati utenti dallo scan con nmap possiamo enumerarli utilizzando questo tool: http://pentestmonkey.net/tools/user-enumeration/finger-user-enum.

Continuiamo ora la nostra enumerazione. Proviamo ad usare nmap per enumerare tutte le porte del sistema:

Copy to Clipboard

Come possiamo vedere c’è il servizio ssh sulla porta 22022:

Copy to Clipboard

Proviamo a usare l’account sunny o sammy per entrare con ssh. Testiamo prima l’utente sunny con una semplice password come sunday che è il nome della macchina:

Copy to Clipboard

Ok! Siamo dentro il sistema come sunny! Proviamo ora a prendere l’utente root o l’account sammy. Se cambiamo directory e ci spostiamo in / possiamo vedere che c’è un’interessante directory chiamata backup, in questa directory c’è il backup del file shadow che è leggibile:

Copy to Clipboard

in questo file ci sono gli hash delle passwords di sammy e sunny! Vediamo se riusciamo a ottenere la password si sammy con john. Prendiamo l’hash della password:

Copy to Clipboard

salviamolo in un file e passiamolo a john:

Copy to Clipboard

dopo qualche minuto john trova il match con cooldude!. Proviamo ad usarla con ssh e l’account sammy:

Copy to Clipboard

Si ora siamo sammy! Proviamo adesso a prendere l’account di root. Se diamo “sudo -l” otteniamo questo output:

Copy to Clipboard

Possiamo usare wget come root senza password! L’idea è questa:

  • Creiamo un nuovo file shadow nella nostra macchina locale con una nuova entry per la password dell’utente root.
  • Carichiamo e sostituiamo il file shadow
  • Entriamo con l’utente root con la nuova password

Creiamo una nuova password in locale:

Copy to Clipboard

dove “password” è la nostra password per l’utente root e “$1$xyz$cEUv8aN9ehjhMXG/kSFnM1” è l’hash per il file shadow. Inseriamo una nuova entry nel nostro file shadow:

Copy to Clipboard

adesso carichiamolo con wget e salviamolo in /etc. In locale creiamo un SimpleHTTPServer:

Copy to Clipboard

e sul server:

Copy to Clipboard

Ora siamo root con la password “password”.

Recent Tweets

For privacy reasons Twitter needs your permission to be loaded.
I Accept