Table of contents

• Recon

• Foothold

• Privilege Escalation

Note

Il s’agit de la toute première room que j’ai flag sur HTB, il y a de ça 3 ou 4 mois. Elle était correcte, vous allez encore un peu pouvoir apprécier mon superbe Ubuntu riced on gnome (c’est une horreur).

Recon

La page est assez sobre, avec un lien et.. c’est tout

Le lien nous envoie vers /printer, qui nous demande un username et un mot de passe

En inspéctant le js de la page, on voit que si l’utilisateur a le cookie isPhotoBombTechSupport et qu’il clique dessus, il sera renvoyé vers le /printer avec les identifiants pH0t0:b0Mb!

On peut donc manuellement s’ajouter le cookie (oui, nous pourrions aussi directement recopier les identifiants mais ça nous évitera de les retaper à l’avenir), puis on clique sur le lien

Le site affiche une alerte, puis nous redirige vers le /printer en étant connecté

On finis rapidement la reconnaissance par vérifier le /robots.txt, mais on tombe sur une 404, avec un bout de code en ruby, rien de très utile

Foothold

Sur le /printer, la seule chose qui saute aux yeux est le gros bouton rouge en bas de la page. En cliquant dessus, on se rend compte qu’il envoie une requête POST vers /printer

On lance donc Burp pour intercépter la requête.

On voit 3 paramètres: la photo, le filetype et enfin les dimensions

Si on change manuellement les dimensions dans la requête à 100x100, le site nous télécharge une version de l’image en 100x100, on comprend donc que l’image est générée dynamiquement au moment de la requête

On peut imaginer une commande du style

generateImage -path photo -type filetype -size dimensions

Où bien sûr nos trois arguments sont passés par la requête.

En partant donc ce cela et en assumant qu’il s’agit d’une commande bash, on peut tenter une code execution en ajoutant un ; à la fin d’un des paramètres.

Le problème, c’est que nous ne savons pas lequel des 3 paramètres est le dernier de la commande. On va donc tenter sur chacun des paramètres jusqu’à trouver lequel est mis en dernier, pour que la commande ressemble par exemple à:

generateImage -path photo.png -type png -dimensions 100x100;id

Cette ligne va éxecuter deux commandes: generateImage et id

Le site renvoie un 500, car il n’a pas trouvé l’image, l’argument photo n’est donc pas injectable.

On enlève le payload sur ce dernier, et on renvoie la requête

Nouvelle réponse 500, cette fois les dimensions sont invalides. En revanche, il n’a rien dit sur le filetype, on sait donc maintenant que notre commande ressemble plutôt à:

generateImage -path photo.png -dimensions 100x100 -type png;id

Pour vérifier ça, on héberge rapidement un serveur python qu’on va curl via notre payload

Et ça fonctionne, on a reçu la requête sur notre serveur, on a donc notre code execution.

On va reverse shell la machine, pour ce faire on build un reverse shell qu’on url encode et qu’on met à la suite de notre ;. On lance un netcat puis on envoie la requête.

Privilege Escalation

Après avoir stabilisé notre shell, on fait un sudo -l et on voit que l’utilisateur wizard pour utiliser sudo sur le fichier cleanup.sh. Il peut aussi modifier les variables d’environnement au lancement du programme. (SETENV)

On cat le cleanup.sh pour voir ce qu’il y a dedans, et on remarque que le script fait appel à plusieurs commandes bash. En revanche, il les appelle toutes avec leur chemin absolu (/bin/cat) sauf pour find

On part sur une path hijacking de la commande find, on crée donc un fichier find dans lequel on écrit /bin/bash, puis on le met dans tmp. Enfin, on lui met toutes les permissions (7 = RWX).

Puis on lance cleanup.sh avec sudo en modifiant la variable d’environnement $PATH pour qu’il aille d’abord chercher la commande find dans le /tmp.

gg!

back to top