Bentornati su Exploitnetworking! Oggi vedremo il writeup della macchina Sunday di Hack The Box. Questa macchina era piuttosto facile, poiché grazie ad un semplice nmap era possibile trovare i nomi degli utenti nel sistema ed entrare dentro, e con qualche semplice trick era possibile ottenere facilmente l’utente root.
Il primo passo come sempre è una scansione con nmap:
Come possiamo vedere ci sono due porte aperte tra cui la 79 con il servizio finger. Questo servizio è un demone che gira sui sistemi Solaris, il servizio determina quali utenti sono collegati al sistema e possiamo vedere che in questo momento ci sono tre utenti collegati: due utenti con l’account sammy e un utente con l’account sunny.
Se non sono stati riportati utenti dallo scan con nmap possiamo enumerarli utilizzando questo tool: http://pentestmonkey.net/tools/user-enumeration/finger-user-enum.
Continuiamo ora la nostra enumerazione. Proviamo ad usare nmap per enumerare tutte le porte del sistema:
Come possiamo vedere c’è il servizio ssh sulla porta 22022:
Proviamo a usare l’account sunny o sammy per entrare con ssh. Testiamo prima l’utente sunny con una semplice password come sunday che è il nome della macchina:
Ok! Siamo dentro il sistema come sunny! Proviamo ora a prendere l’utente root o l’account sammy. Se cambiamo directory e ci spostiamo in / possiamo vedere che c’è un’interessante directory chiamata backup, in questa directory c’è il backup del file shadow che è leggibile:
in questo file ci sono gli hash delle passwords di sammy e sunny! Vediamo se riusciamo a ottenere la password si sammy con john. Prendiamo l’hash della password:
salviamolo in un file e passiamolo a john:
dopo qualche minuto john trova il match con cooldude!. Proviamo ad usarla con ssh e l’account sammy:
Si ora siamo sammy! Proviamo adesso a prendere l’account di root. Se diamo “sudo -l” otteniamo questo output:
Possiamo usare wget come root senza password! L’idea è questa:
- Creiamo un nuovo file shadow nella nostra macchina locale con una nuova entry per la password dell’utente root.
- Carichiamo e sostituiamo il file shadow
- Entriamo con l’utente root con la nuova password
Creiamo una nuova password in locale:
dove “password” è la nostra password per l’utente root e “$1$xyz$cEUv8aN9ehjhMXG/kSFnM1” è l’hash per il file shadow. Inseriamo una nuova entry nel nostro file shadow:
adesso carichiamolo con wget e salviamolo in /etc. In locale creiamo un SimpleHTTPServer:
e sul server:
Ora siamo root con la password “password”.
Scrivi un commento