[HTB] Valentine writeup15 min read

Bentornati su Exploitnetworking! Oggi vedremo il write up della macchina appena ritirata da Hack The Box: Valentine. Questa macchina è stata molto divertente poiché il primo step è basato su una nota vulnerabilità “heartbleed” che permette di exploitare il protocollo openssl per andare a leggere la memoria della macchina, se vuoi saperne di più visita il sito ufficiale: http://heartbleed.com/. Una volta dentro la macchina, per diventare amministratori, bastava usare un piccolo trick con tmux. Vediamo ora tutto il procedimento.

Iniziamo subito con una normale scansione delle porte usando nmap:

Copy to Clipboard

Come si può vedere ci sono diverse porte aperte: la 22 per il servizio ssh, la 80 per il server web e infine la 445 per il servizio web su https. Apriamo il browser e andiamo subito a vedere cosa vi sta all’indirizzo 10.10.10.79.

Nella homepage del sito possiamo trovare questo wallpaper, dove il cuore è esattamente il logo della vulnerabilità heartbleed, molto probabilmente questa macchina è vulnerabile! Testiamo subito vedendo se esiste già uno script:

Copy to Clipboard

Yep! Proviamo subito il secondo:

Copy to Clipboard

Come possiamo vedere in output c’è un hexdump di qualcosa che sembra essere la memoria della macchina vulnerabile, tra l’hexdump c’è una stringa che sembra essere una variabile “$text” con un valore in base 64. Proviamo a vedere cosa c’è nella codifica di quel base 64:

Copy to Clipboard

Interessante, probabilmente questa è una password, ma se la proviamo su ssh con l’utente valentine questa non funziona (l’utente valentine sembra più che lecito):

Copy to Clipboard

Niente, probabilmente ci manca qualcosa, continuiamo quindi la nostra enumerazione con dirbuster:

Copy to Clipboard

Come si può vedere ci sono tanti file interessanti, tra cui hype_key e notes.txt. Il primo file contiene una sequenza di valori esadecimali mentre il secondo file sembra essere un todo di qualche sviluppatore. Proviamo a vedere se dalla sequenza del primo file riusciamo a tirar fuori qualcosa:

Copy to Clipboard

Ora che l’abbiamo scaricato in locale usiamo python per convertire in stringa quei caratteri:

Copy to Clipboard

Questo si che è interessante, è una chiave privata del servizio ssh! Salviamola e proviamo ad usarla con la password precedentemente trovata:

Copy to Clipboard

Sembra che l’utente valentine non ci sia nel sistema, proviamo a vedere se esiste l’utente hype, dato che la chiave si chiama hype_key:

Copy to Clipboard

Oh sì, funziona con la password trovata prima! Prendiamo la flag che si trova nel Desktop e continuiamo con il privilege escalation:

Copy to Clipboard

Per l’enumerazione usiamo il solito LinEnum.sh, creiamo un simple http server in locale e usiamolo per scaricare lo script sul server:

Copy to Clipboard

e sul server:

Copy to Clipboard

Ok, facciamo partire lo script:

Copy to Clipboard

Una volta eseguito, esaminando il risultato si può trovare un processo interessante:

Copy to Clipboard

Sembra essere un processo root che condivide un socket con tmux, proviamo ad agganciarci:

Copy to Clipboard

E si funziona, siamo amministratori!

Copy to Clipboard

Recent Tweets

For privacy reasons Twitter needs your permission to be loaded.
I Accept
2018-07-30T14:17:50+00:00

About the Author:

Dottore in Informatica. Da sempre appassionato di Linux, reti informatiche, sicurezza e, in modo amatoriale, all’elettronica. Il mio intento è quello di trasmettere le mie conoscenze ad altri appassionati.

Leave A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.