Horizont Write-up
Passo a passo de como eu resolvi a maquina Horizont da Crowsec.
|
Introdução
A máquina Horizont é disponibilizada no laboratório da Crowsec, para poder ter acesso a essa máquina é preciso ser aluno do Webhacking-na-pratica 2.0. ela está classificada como nível Médio e seu sistema operacional é Linux.
Reconhecimento
O primeiro passo é descobrir quais os serviços que estão sendo executados na máquina, para isso utilizei o Nmap com os seguintes parâmetros:
Nmap -sV -vvv <IP-da-Maquina>
e obtive o seguinte resultado:
|
Então decidir olhar o serviço http na porta 80.
|
Depois de olhar e tentar algumas interações, decidir olhar o código fonte da página e encontrei algo bastante interessante
|
Era um comentário, solicitando que define-se um valor para o parâmetro url, decidir então testar, colocando a url do google como valor do parâmetro.
|
Opa, o servidor retornou o conteúdo da página web do google =D, mas não parei por aí, fui mais a fundo, e subir um servidor web em python na minha máquina com o comando
python3 -m http.server 8080 e coloquei minha url no parâmetro.
Então descobrir que o IP que fazia a requisição http era o da máquina Horizont.
|
Ou seja, era um server-side request forgery(SSRF).
Explorando o SSRF
Através, desse SSRF conseguir extrair do metadados da AWS credencias de acesso ao s3.
|
Com essas informações, configurei o aws cli no meu sistema operacional e executei o comando: aws s3 ls.
|
Então achei interessante o nome de um diretório s3-ctf
|
Em seu conteúdo tinha
|
Então executei o download do arquivo de texto.
|
Depois abrir o arquivo e nele continha um base64.
|
Ganhando acesso a aplicação
Eu precisava decodificar o base64, então executei o comando no terminal
base64 -d superadmin_login_backup.txt
e este base64 tinha credenciais de acesso há alguma aplicação
|
Então fui dar uma olhada no serviço http da porta 8080 que estava sendo executada na maquina
|
Eee de cara tinha uma função de login
|
Coloquei as credencias do base64 e pressionei o botão de Login
|
Conseguir logar no sistema :D. Pressionei o Admin Area.
|
E fui redirecionado para essa página
|
Era uma aplicação de CMS, era preciso entender ela e dar um pesquisada por possíveis pontos de exploração. Foi então que encontrei esse artigo escrito por bigb0ss, que demostrou a utilização de um plugin malicioso no HorizontCMS
Explorando HorizontCMS
Fiz o download do plugin disponibilizado no repositório do github do autor do HorizontCMS.
|
E fui para o seguinte diretório.
|
E neste diretório continha alguns arquivos.
|
Abrir o arquivo messages.php com o nano e inserir um código de reverse shell.
|
|
. |
Depois compactei novamente no formato zip todos os arquivos. Voltei para aplicação HorizontCMS e naveguei para o sistema de plugin.
|
Então fui para a opção de upload new plugin.
|
Selecionei o meu plugin modificado com a extensão .zip.
|
E pressionei upload, install, activate e pronto plugin instalado e pronto para testar
|
|
|
Conseguindo uma shell
Então coloquei meu netcat para escutar na porta configurada no código reverse shell, porta 1337.
|
No Google Maps, pressionei add location.
|
E inserir dados fictícios, e pressionei Save.
|
Voltei para o netcat e.
|
Obtive uma shell no servidor :p, comecei a navegar pelos diretórios e encontrei na raiz do sistema operacional uma flag.
|
Encontrei a flag de usuário 😊.
Escalando Privilégios
Comecei a procurar por binários com SUID configurados com o comando.
|
E encontrei esses.
|
Acessei o site https://gtfobins.github.io/ e comecei a procurar por binários que continha na lista que me permite-se virar root.
Encontrei o binário find.
|
Naveguei para /usr/bin e executei o comando
|
E executei o comando whoami, eee
|
Virei root do sistema operacional. LoL. Fui para o diretório raiz do usuário root e executei o cat no arquivo root.txt
|
E a peguei a flag root. Maquina Finalizada com sucesso U.u.
Considerações finais
O comprometimento da máquina Horizont, deu em consequência da aplicação permitir que o usuário consiga manipular requisições feitas pelo servidor web, falha chamada de SSRF(Server-side Request Forgery), somando a uma má configuração de permissões dos metadados da AWS, foi possível tornar-se administrador da aplicação CMS.
A escalação de privilegio ocorreu devido o bit SUID está ativado no binário find do sistema operacional.