Shocker

#Web_Application #RCE #bash #perl

Shocker is an easy-rated Linux machine from HackTheBox, created by mrb3n. In the current writeup, my IP is 10.10.14.210, and the target IP is 10.129.37.21

Recon

The first steps are about getting basic information about the target, by using nmap and searching information from the website.

Local Terminal
ping -c 1 10.129.37.21
Haciendo ping a 10.129.37.21 con 32 bytes de datos:
Respuesta desde 10.129.37.21: bytes=32 tiempo=628ms TTL=63
Respuesta desde 10.129.37.21: bytes=32 tiempo=165ms TTL=63

Estadísticas de ping para 10.129.37.21:
    Paquetes: enviados = 2, recibidos = 2, perdidos = 0
    (0% perdidos),

By the TTL, we can assume that is a Linux Machine, because it's close to 63.

Local Terminal
nmap -p- --open -sS --min-rate 5000 -vvv -n 10.129.37.21
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT     STATE SERVICE      REASON
80/tcp   open  http         syn-ack ttl 62
2222/tcp open  EtherNetIP-1 syn-ack ttl 62

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 16.62 seconds
           Raw packets sent: 78689 (3.462MB) | Rcvd: 76654 (3.066MB)

And then we try to get the version and run basic scripts with Nmap in each port.

Se encontraron dos puertos relevantes, el puerto 80, donde se hostea el servicio web objetivo, y el puerto ssh que esta ubicado en el puerto 2222.

Como detalle, si buscas en Google "OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 launchpad", encontraras el tipo de build que utiliza, en este caso es un Ubuntu Xenial. Si ingresamos a la maquina y comprobamos que es el mismo, se puede suponer que no es un contenedor

A simple vista, no hay nada importante, veamos el sitio web directamente

Web Exploring

At the source-code, there is absolutely nothing... let's fuzz it!

Al parecer hay varios paths extraños, pero al ingresar, el más curioso es /cgi-bin/user.sh, que al ingresar, descargas un archivo.

Exploit CGI-based web server

Fragmento de un request? Al parecer es un mal manejo del navegador... la alternativa seria ver que ve Burpsuite al enviar una peticion al mismo lugar.

Ahora sabemos que se descarga por el espacio que hay en la linea 8, o mostraria en texto plano tu tiempo actual, de todas formas, la informacion es la misma. Es un script que corre en bash.

Finding

Al buscar más al respecto, se encuentra que existe una serie de vulnerabilidades tipo CGI-based Web Server que nos permitiria cambiar el comando que esta ejecutando el script simple y realizar un RCE. Para explotarlo, tienes que cambiar en Burpsuite el User-Agent a lo siguiente:

LogoShellshock (software bug)Wikipedia

Al buscar más al respecto, se encuentra que existe una serie de vulnerabilidades tipo CGI-based Web Server que nos permitiria cambiar el comando que esta ejecutando el script simple y realizar un RCE. Para comprobar su existencia, nmap tiene un script que detectara si es vulnerable o no.

Como podemos apreciar, el target si es vulnerable a Shellshock, es bueno tener presente este script ante paths que finalicen en .sh

Exploit

Ahora para explotarlo, tienes que cambiar en Burpsuite el User-Agent a lo siguiente:

Funciono! Acabamos de ejecutar el comando "id", ahora solo falta ejecutar una reverse shell. Primero hay que abrir con netcat un vector y luego inyectar el codigo

LogoGitBookapp.gitbook.com
Bash Upgrade: Para mejorar la Shell

And done! We have the first flag!

Privilege Escalation

Now we will run every basic command to get information.

Como Shelly podemos utilizar perl sin contraseña, con esto se puede escalar con facilidad, ya que se puede ejecutar perl utilizando sudo.

PreviousEasy MachineNextWindows Machine

Last updated