Crowsec Check Write-up
Resolução da maquina Check do laboratório da Crowsec. Explorando Deserialização do php.
|
A máquina Check é disponibilizada no laboratório da Crowsec, para poder ter acesso a essa máquina é preciso ser aluno do Webhacking-na-pratica 2.0.
A máquina está classificada como nível Médio e seu sistema operacional é Linux.
Reconhecimento
Primeira etapa é fazer o reconhecimento inicial de portas e serviços disponíveis no alvo. Para essa função escolhi utilizar a ferramenta Nmap.
nmap -sS -sV -v <IP>
Resultado:
|
Agora, iniciaremos o reconhecimento do serviço web na porta 80.
|
Iniciaremos uma varredura de arquivos que possam estar disponíveis no servidor web, utilizando a ferramenta gobuster.
gobuster dir -w raft-large-files.txt -e -u http://<IP-Maquina>/ -t 100
Resultado:
|
Encontramos um arquivo zip denominado backup.zip, fazemos o download do arquivo para nossa máquina.
unzip backup.zip
foi extraído um arquivo php denominado contact.php, vamos analisar seu conteúdo.
|
Um formulário web do servidor.
Acessamos a pagina via browser para verificar se ela está disponível no servidor.
|
A página está disponível, vamos fazer o code review do contact.php para tentar encontrar alguma vulnerabilidade.
|
Nessa parte do código mostra uma classe chamada Send, dentro da classe tem duas propriedades “send_file” e “message” e no final do código tem a função __destruct que quando for chamada salvará no diretório atual um arquivo com nome do conteúdo de “send_file” e dentro desse arquivo salvará o conteúdo de “message”.
A função __destruct será chamada automaticamente quando todo o script da classe Send terminar seu processamento.
Vamos continua analisando o script.
|
No final do arquivo, o script php aceita receber dados do usuário através do parâmetro ‘check’ via método GET, porem a vulnerabilidade ocorre quando o usuário pode definir o objeto serializado na função ‘unserialize’ sem nenhum tipo de tratamento.
Vamos utilizar essa vulnerabilidade para manipular os valores das propriedades “send_file” e “message”.
|
Criei esse script que contém a classe Send com as propriedades “send_file” e “message” e no final vai retornar à serialização dessa classe.
|
Temos nosso objeto serializado, vamos enviar para o servidor.
|
Enviamos para o servidor.
Vamos tentar acessar o arquivo poc.php que criamos no servidor e confirmar que realmente está vulnerável.
|
Conseguimos execução de código no servidor.
|
Exploração
Alterei o script para obtermos uma web shell.
|
Através do parâmetro “estudo” podemos executar qualquer comando no servidor.
Vamos obter a nossa shell.
|
Encodamos em base64 e enviamos para o servidor via parâmetro “estudo”.
echo -n <Seu-Base64> | base64 -d | sh
Resultado:
|
Temos nossa shell no servidor. :D
No diretório /opt/ encontramos nossa primeira flag.
|
Escalação de Privilégios
Excutamos o comando find / -perm -u=s -type f 2>/dev/null para encontrar por binários com SUID ativado.
|
Encontramos o binário checker, vamos executa-lo para ver o que acontece.
|
Retornou somente a frase “você não é root,desculpe”
Vamos usar o ghidra para tentar entender como esse binário funciona.
Depois de analisar todo o código, encontrei na função main, o seguinte código.
|
Quando o binário é executado ele ler o valor da variável de ambiente chamada “i_am_root”, se for nula então ele retorna a mensagem, se não ele inicia uma shell como root.
|
Configuramos a variável de ambiente com o valor de 1. OBS: pode ser qualquer valor.
E executamos o binário.
|
ROOT!!
|
|
Segunda flag encontrada.
|