TryHackMe – Billing (Easy)
Billing est une box sous Linux de niveau easy comportant une installation de MagnusBilling vulnérable à une RCE non authentifiée (CVE-2023-30258) ainsi qu’une configuration sudo vulnérable.
Web
HackTheBox – Pollution (Hard)
Pollution est une machine Linux de difficulté hard avec plusieurs vulnérabilités complexes et sophistiquées à exploiter, telles qu’une XXE et l’exploitation d’une LFI pour obtenir une RCE, ainsi qu’une prototype pollution. Dans un premier temps, nous prenons pied en tant qu’utilisateur « www-data » en lisant les fichiers critiques via une XXE, puis en tirant parti d’une LFI pour obtenir une RCE. De plus, nous découvrons que `php-fpm` s’exécute en tant qu’utilisateur `victor` sur un port interne de l’hôte distant, ce qui peut être exploité pour passer latéralement de `www-data` à `victor`. Enfin, nous parvenons à élever les privilèges vers l’utilisateur « root » en exploitant une prototype pollution sur un service NodeJS interne.
HackTheBox – Soccer (Easy)
Soccer est une machine Linux de difficulté facile qui comporte un accès initial basé sur les identifiants par défaut, permettant l’accès à une version vulnérable du « Tiny File Manager », ce qui mène à un reverse shell sur le système cible (« CVE-2021-45010 »). L’énumération de la cible révèle un sous-domaine qui est vulnérable à une Blind SQLi via des websockets. L’exploitation de la SQLi conduit à la récupération d’informations d’identification SSH pour l’utilisateur « player », qui peut exécuter « dstat » en utilisant « doas »- une alternative à « sudo ». En créant un plugin « Python » personnalisé pour « doas », un shell en tant que « root » est ensuite généré via le bit « SUID » du binaire « doas » , ce qui conduit à des privilèges complets sur le système.
HackTheBox – Topology (Easy)
Topology est une machine Linux de difficulté easy qui présente une application Web comportant une fonctionnalité interprétant du code LaTeX sensible à une vulnérabilité d’inclusion de fichiers locaux (LFI). L’exploitation de la faille LFI permet de récupérer un fichier « .htpasswd » contenant un mot de passe haché. En déchiffrant le hachage du mot de passe, l’accès SSH à la machine est obtenu, révélant une tâche cron s’exécutant en tant que root qui exécute des fichiers gnuplot. La création d’un fichier « .plt » malveillant permet une élévation de privilèges.
HackTheBox – Busqueda (Easy)
Busqueda est une machine Linux de difficulté easy qui implique l’exploitation d’une vulnérabilité d’injection de commandes présente dans un module Python. En exploitant cette vulnérabilité, nous obtenons un accès utilisateur à la machine. Pour élever les privilèges vers « root », nous découvrons des informations d’identification dans un fichier de configuration Git, nous permettant de nous connecter à un service Gitea local. De plus, nous découvrons qu’un script de vérification du système peut être exécuté avec les privilèges « root » par un utilisateur spécifique. En utilisant ce script, nous énumérons les conteneurs Docker qui révèlent les informations d’identification du compte Gitea de l’utilisateur administrateur. Une analyse plus approfondie du code source du script de vérification du système dans un dépot Git révèle un moyen d’exploiter une référence de chemin relatif, nous accordant une exécution de code à distance (RCE) avec les privilèges root.
HackTheBox – TwoMillion (Easy)
TwoMillion est une box Linux de difficulté easy qui a été publiée pour célébrer les 2 millions d’utilisateurs sur HackTheBox. La boîte contient une ancienne version de la plateforme HackTheBox qui inclut l’ancien code d’invitation piratable. Après avoir piraté le code d’invitation, un compte peut être créé sur la plateforme. Le compte peut être utilisé pour énumérer divers endpoints d’API, dont l’un peut être utilisé pour élever l’utilisateur au rang d’administrateur. Avec un accès administratif, l’utilisateur peut effectuer une injection de commande sur l’endpoint de génération VPN administrateur, obtenant ainsi un shell sur le système. Un fichier « .env » contient les informations d’identification de la base de données et, grâce à la réutilisation du mot de passe, les attaquants peuvent se connecter en tant qu’utilisateur « admin » sur la box. Le kernel du système s’avère obsolète et CVE-2023-0386 peut être utilisé pour obtenir un shell root.
HackTheBox – Broker (Easy)
Broker est une box sous Linux de difficulté facile hébergeant une version vulnérable d’Apache ActiveMQ, un broker open-source écrit en Java.
HackTheBox – Flight (Hard)
Flight est une machine Windows de difficulté hard qui démarre avec un site Web avec deux hôtes virtuels différents. L’un d’eux est vulnérable à une LFI et permet à un attaquant de récupérer un hachage NTLM. Une fois craqué, le mot de passe en clair peut être utilisé dans une attaque par password spraying sur une liste de noms d’utilisateur valides pour découvrir une réutilisation du mot de passe. Une fois que l’attaquant dispose d’un accès SMB en tant qu’utilisateur « s.moon », il peut écrire sur un partage auquel d’autres utilisateurs ont accès. Certains fichiers peuvent être utilisés pour voler le hachage NTLMv2 des utilisateurs qui accèdent au partage. Une fois le deuxième hachage craqué, l’attaquant pourra écrire un reverse shell dans un partage qui héberge les fichiers Web et obtenir un shell sur la box en tant qu’utilisateur à faible privilèges. Ayant les informations d’identification pour l’utilisateur « c.bum », il sera possible d’obtenir un shell en tant que ce dernier, ce qui permettra à l’attaquant d’écrire un web shell « .aspx » sur un site web configuré pour écouter uniquement sur localhost. Une fois que l’attaquant a exécuté la commande en tant que « IIS APPPOOL\DefaultAppPool », il peut exécuter Rubeus pour obtenir un ticket pour le compte de la machine qui peut être utilisé pour effectuer une attaque DCSync, obtenant finalement les hachages pour l’utilisateur administrateur.
HackTheBox – Return (Easy)
Return est une machine Windows de difficulté easy dotée d’un panneau d’administration d’imprimante réseau qui stocke les informations d’identification LDAP. Ces informations d’identification peuvent être capturées en saisissant un serveur LDAP malveillant qui permet de prendre pied sur le serveur via le service WinRM. L’utilisateur s’est avéré faire partie d’un groupe de privilèges qui a ensuite été exploité pour accéder au système.