HTB Write-up – Olympus (por @1r0Dm48O)

Buenas conejetes! Hoy tenemos a un pedazo de colaborador, @1r0Dm48O, parte del equipo de HoneyCON, con quienes hace poquito como sabéis tuvimos una muy buena colaboración. Y también parte de la iniciativa formativa para los más jóvenes Hackers4Fun, que os animamos fervientemente a revisar 🙂

Nos trae el Writeup de una máquina de Hack the Box, que además fue creada por @oscarakaelvis, uno de los mejores jugadores de España. Espero que os guste tanto como a nosotros!!

{0x0} Introducción

Olympus es una máquina ubicada en HackTheBox que debemos vulnerar para conseguir las flags de usuario (user.txt) y root (root.txt) creada por OscarAkaElvis miembro del team L1k0rD3B3ll0t4 basada en Linux OS, os mostraremos los pasos que hemos dado.

{0x1} Reconocimiento

Antes de empezar conectamos nuestra máquina de pentesting Kali Linux en la VPN privada a través de openvpn –config 1v4n.ovpn asignandónos la IP 10.10.14.5.

Y comenzamos, descubrimos nuestra dirección IP.

Y comprobamos que hay conexión con la máquina a vulnerar lanzado un ping:

{0x2} Escaneo

Realizamos un escaneo de puertos para comprobar los servicios que están abiertos y corriendo en la máquina a vulnerar con nmap -A 10.10.10.83:

Observamos puertos abiertos como 53 (dns Bind), 80 (http Apache), 2222 (ssh) y filtrado el 22 (ssh). Vemos las posibles vulnerabilidades de cada puerto con:

nmap -sS -sV -p xx 10.10.10.83 --script vuln

Observamos que en el puerto 80 hay una posible vulnerabilidad identificada con CVE-2017-7269.

{0x3} Enumeración

Lanzamos dirb sobre el servicio web Apache en la URL http://10.10.10.83/ 

Detectamos que sólo es accesible http://10.10.10.83/favicon.ico, http://10.10.10.83/index.php , http://10.10.10.83/server-status y con la herramienta http sobre la index.php obtenemos en la cabecera Xdebug: 2.5.5.

Nos desvela la URL http://10.10.10.83/crete.css que analizaremos.

Nos desvela el anterior análisis de crete.css la existencia de el gráfico de zeus.jpg.

«padre de los dioses y los hombres»

Así, ya conociendo la ambientación del retador en Olimpia, confirmamos la vulnerabilidad a explotar identificada como xdebug < 2.5.5 – OS Command Execution y con el metasploit.

{0x4} Acceso

msfconsole y:

msf > use exploit/unix/http/xdebug_unauth_exec

Navegamos con meterpreter> por los directorios del Linux OS y ejecutamos el comando shell>

En el directorio /home un observamos un programa llamado airgeddon ha sido utilizado para alguna auditoría de redes WiFi. En su árbol de directorio el multi-script nos revela un directorio que se crea después de auditar que es /captured. Lo exploramos:

Ahí están dos archivos papyrus.txt y una captura de tráfico captured.cap. Sobre el primero de los archivos lanzamos cat papyrus.txt obteniendo Captured while flying. I’ll banish him to Olympia – Zeus. Sin otra Zeus nos manda a analizar la captura de red WiFi que pasamos a descargar.

Observamos con aircrack-ng que captured.cap posee un handshake de AP de WiFi con seguridad WPA con ESSID Too_cl0se_to_th3_Sun que puede ser una posible key.

Pasamos a clonar el repositorio del airgeddon con git clone y ubicamos la captura dentro del directorio /airgeddon en local y el diccionario rockyou.txt que nos ayudará para un posible ataque de diccionario. Otorgamos permisos a airgeddon.sh con chmod +x airgeddon.sh y lo ejecutamos.

Pasaremos por una serie de verificaciones y veremos el siguiente menú y elegimos la opción 6.

Pulsamos continuar y desencriptar la contraseña arrojándose lo siguiente>>airgeddon. Contraseña desencriptada con aircrack>>BSSID: F4:EC:38:AB:A8:A9————— flightoficarus ————–

Yeah… tenemos un posible user icarus y una posible key Too_cl0se_to_th3_Sun. Vamos a intentar establecer una conexión por el servicio del puerto 22 ssh:

Obtenemos una pista en el archivo help_of_the_gods.txt >> Athena goddess will guide you through the dark… Way to Rhodes… ctfolympus.htb.

Hacemos un paréntesis y editamos el /etc/hosts y añadimos la linea 10.10.10.83 ctfolympus.htb

Recordamos de que otro de los puertos abiertos era el 53 del servicio DNS, el cual vamos a arrojarle la tool dig y en el registro de TXT nos arroja siguiente >> «prometheus, open a temporal portal to Hades (3456 8234 62431) and St34l_th3_F1re!».

Parece que el autor nos dice que llamemos a un portal temporal y nos da dos nombres “prometheus” “Hades”, una serie de números 3456 8234 62431 de posibles puertos y una posible key St34l_th3_F1re!.

Descubrimos el Port knocking y una herramienta en python 3 para poder acceder a la máquina a vulnerar >> knock (Simple utility for port knocking written in python3)

Pasamos a abrir una sesión ssh en la máquina a vulnerar utilizando:

./knock.sh 10.10.10.83 3456 8234 62431 && ssh prometheus@10.10.10.83

Analizamos permisos y observamos que hay contenedores docker. Pasamos a explorar y conseguir nuestro primer logro.

Seguimos con el reto de la máquina ya que el root.txt anda escondido entre los dioses de Olympia 😉

Analizamos las contenedores de docker que existen en la máquina con

docker images

{0x5} – Escalada de Privilegios (privesc)

Realizamos un backup del contenedor Olympia con

docker commit olympia 1v4n

Ejecutamos el backup 1v4n y accedemos como root con

docker run -t -i 1v4n /bin/bash

Autor: 1v4n a.k.a. @1r0Dm48O
Twitter: https://twitter.com/1r0Dm48O