[HTB] Sunday10 min read

Bentornati su Exploitnetworking! Oggi vedremo il writeup della macchina Sunday di Hack The Box. Questa macchina era piuttosto facile, poiché grazie ad un semplice nmap era possibile trovare i nomi degli utenti nel sistema ed entrare dentro, e con qualche semplice trick era possibile ottenere facilmente l’utente root.

Il primo passo come sempre è una scansione con nmap:

Copy to Clipboard

Come possiamo vedere ci sono due porte aperte tra cui la 79 con il servizio finger. Questo servizio è un demone che gira sui sistemi Solaris, il servizio determina quali utenti sono collegati al sistema e possiamo vedere che in questo momento ci sono tre utenti collegati: due utenti con l’account sammy e un utente con l’account sunny.

Se non sono stati riportati utenti dallo scan con nmap possiamo enumerarli utilizzando questo tool: http://pentestmonkey.net/tools/user-enumeration/finger-user-enum.

Continuiamo ora la nostra enumerazione. Proviamo ad usare nmap per enumerare tutte le porte del sistema:

Copy to Clipboard

Come possiamo vedere c’è il servizio ssh sulla porta 22022:

Copy to Clipboard

Proviamo a usare l’account sunny o sammy per entrare con ssh. Testiamo prima l’utente sunny con una semplice password come sunday che è il nome della macchina:

Copy to Clipboard

Ok! Siamo dentro il sistema come sunny! Proviamo ora a prendere l’utente root o l’account sammy. Se cambiamo directory e ci spostiamo in / possiamo vedere che c’è un’interessante directory chiamata backup, in questa directory c’è il backup del file shadow che è leggibile:

Copy to Clipboard

in questo file ci sono gli hash delle passwords di sammy e sunny! Vediamo se riusciamo a ottenere la password si sammy con john. Prendiamo l’hash della password:

Copy to Clipboard

salviamolo in un file e passiamolo a john:

Copy to Clipboard

dopo qualche minuto john trova il match con cooldude!. Proviamo ad usarla con ssh e l’account sammy:

Copy to Clipboard

Si ora siamo sammy! Proviamo adesso a prendere l’account di root. Se diamo “sudo -l” otteniamo questo output:

Copy to Clipboard

Possiamo usare wget come root senza password! L’idea è questa:

  • Creiamo un nuovo file shadow nella nostra macchina locale con una nuova entry per la password dell’utente root.
  • Carichiamo e sostituiamo il file shadow
  • Entriamo con l’utente root con la nuova password

Creiamo una nuova password in locale:

Copy to Clipboard

dove “password” è la nostra password per l’utente root e “$1$xyz$cEUv8aN9ehjhMXG/kSFnM1” è l’hash per il file shadow. Inseriamo una nuova entry nel nostro file shadow:

Copy to Clipboard

adesso carichiamolo con wget e salviamolo in /etc. In locale creiamo un SimpleHTTPServer:

Copy to Clipboard

e sul server:

Copy to Clipboard

Ora siamo root con la password “password”.

Recent Tweets

For privacy reasons Twitter needs your permission to be loaded.
I Accept
2018-10-01T09:24:24+00:00

About the Author:

Dottore in Informatica. Da sempre appassionato di Linux, reti informatiche, sicurezza e, in modo amatoriale, all’elettronica. Il mio intento è quello di trasmettere le mie conoscenze ad altri appassionati.

Leave A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.