HTB Write-up – Popcorn

Buenas!

Como ya sabéis desde hace ya un tiempo, que en la comunidad hacker, principalmente en los canales de Telegram, se ha acogido muy bien la plataforma de Hackthebox. En el blog, varios compañeros estamos jugando en el mismo y nos gustaría ir publicando varios write-up de máquinas retiradas con objeto de facilitar diferentes soluciones para aportar a la comunidad.

 

En este caso, se trata de la solución de la máquina Popcorn 😉

 

 

El write-up se divide en tres fases:

• Enumeración.
• Explotación
• Escalada de privilegios

 

Enumeración

Enumeración con nmap

Empleando la herramienta por excelencia nmap:

 

 

Se identifican los puertos/servicios:

• 22 – SSH
• 80 -HTTP

Enumeración de directorios

Para ello, se emplean herramientas como dirseach y el script de “http-enum” de nmap:

 

 

De esta manera, se localiza el directorio “torrent”:

 

Como se observa dispone de un formulario de login, en dónde parece que tiene habilitado el registro de usuarios. De esta manera, se procede a registrase pudiendo acceder a la parte de post-autenticación.

 

Explotación

 

Con el acceso a la parte de post-autenticación, se inicia el proceso de explotación.

Una vez dentro, se identifica una funcionalidad de subida para ficheros torrents, en dónde se encuentra subida una Kali. Se procede a identificar si cuenta con mecanismos de protección tratando de subir un fichero php.

 

 

Sin embargo, tras examinarlo se confirma que solo acepta ficheros .torrent, por lo que se busca uno y se procede a subir para ver su comportamiento y la ruta dónde se guarda:

 

 

Una vez subido, se observa que se puede modificar permitiendo subir un screenshot (esto sí me hubiera fijado mejor, no haría falta subir ningún Torrent sino directamente usar el del Torrent de Kali subido).

 

 

En principio parece que sólo acepta ficheros de imagen: jpg,jpeg, png,… Sin embargo, jugando con los parámetros “filename” y “content-type” se identifica que no valida el filename, solamente el Content-type. A través de la siguiente petición:

Se logra subir una shell:

 

 

Siendo la ruta de la imagen:

 

 

Por lo que accediendo a la carpeta /torrent/upload/ el servidor dispone de un directory listing, pudiendo ejecutar el fichero subido. En este caso, se ha subido una simple webshell de PHP:

 

Logrando acceder a la flag de user:

 

 

Escalada de privilegios

 

Se inicia el proceso de escalada de privilegios para lograr ser root en la máquina.

Con la webshell subida, se lanza un necat a nuestra máquina en la escucha para disponer de una shell reversa.

 

Recibiendo la llamada en el listener:

 

 

En primer lugar, se identifica la versión del kernel:

Linux popcorn 2.6.31-14-generic-pae #48-Ubuntu SMP Fri Oct 16 15:22:42 UTC 2009 i686 GNU/Linux

Que se encuentra bastante desactualizado, por lo que se buscan posibles exploits:

 

 

Adicionalmente, se emplea la herramienta linux-exploit-suggester para ver los exploits disponibles de acuerdo con la versión del kernel. Tras probar algunos, se logra la escalada con el exploit de full-nelson:

 

[+] [CVE-2012-0056,CVE-2010-3849,CVE-2010-3850] full-nelson

Details: http://vulnfactory.org/exploits/full-nelson.c
Tags: [ ubuntu=9.10|10.04|10.10 ],ubuntu=10.04.1
Download URL: http://vulnfactory.org/exploits/full-nelson.c

 

Accediendo a la flag de root:

 

Se trata de una máquina sencilla, pero entretenida para practicar.

Espero que os haya gustado y resultado útil.

Nos vemos en la siguiente entrada 😉

Saludos.

N4xh4ck5

La mejor defensa es un buen ataque