HackTheBox machines – Shibboleth WriteUp

Shibboleth es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Shibboleth 10.10.11.124 a /etc/hosts como shibboleth.htb y comenzamos con el escaneo de puertos nmap.

Vemos que sólo tenemos un puerto abierto, el 80, que pertenecerá a un portal web con apache.

En este caso además, hemos encontrado un puerto interesante al realizar el escaneo udp

 

Enumeración

Una vez hecha la primera parte del escaneo vamos a revisar el portal web, que tiene el siguiente aspecto

 

Después de revisar el mismo no observamos nada relevante a excepción de un mensaje en el footer donde indica que la monitorización está basada en zabbix y bmc

Con lo anterior parece que no descubrimos mucho así que vamos a enumerar posibles directorios

Aunque no descubrimos gran cosa, así que vamos a pasar a tratar de descubrir algún subdominio con ffuf

 

Y en este caso si descubrimos 3 subdominios a añadir en nuestro ficheros hosts, aunque los 3 apuntan al mismo sitio que sería el portal de login de zabbix

 

Hasta aqui damos muchas vueltas pero no conseguimos nada importante así que vamos a retomar el puerto udp que descubrimos anteriormente

Buscamos en internet y leemos al respecto, destacando las siguientes webs

Así que vamos a utilizar el plugin de metasploit para identificar si realmente es vulnerable.

En primer lugar verificaremos la versión con el modulo ipmi_version

 

Y descubrimos que, efectivamente, se trata de la versión 2.0 que es vulnerable, aunque vamos a asegurarnos con el modulo ipmi_cipher_zero

Y, sí, es vulnerable, así que el siguiente paso será intentar extraer los hashes de los usuarios con ipmi_dumphashes

 

Y tenemos el hash, aunque no vamos a mostar el mismo por no revelar excesiva información al respecto. Ahora que lo tenemos buscamos el modulo de hashcat a utilizar

Y desciframos el mismo

 

Así que ahora que tenemos las claves vamos a loguearnos en zabbix

 

Ahora que ya estamos dentro, buscamos en el footer y encontramos la versión del mismo, en concreto, se trata de la versión 5.0.17 para la cual no hemos encontrado exploits ni vulnerables como tal pero si una posible forma de conseguir avanzar.

A la hora de crear items en zabbix hay es posible utilizar scripts ya sea existentes en el propio sistema y cargados por el agente o a través de la ejecución de comandos con python disponible desde el panel web por lo que vamos a ello

El primer paso será ir hasta la creación del item, para ello habrá que ir por los siguientes menús:

configuration -> hosts -> items 

y llegaremos a la siguiente ventana

 

Llegados a este punto crearemos nuestro item y añadiremos nuestro código en el campo key, en nuestro caso utilizamos la función system.run de python, aunque es posible utilizar otras, siguiendo nuestro ejemplo el comando tendría el formato

Y quedaría como se ve en la siguiente captura

 

Levantamos una escucha con netcat en el puerto que indicamos en el item y esperamos el tiempo indicado de intervalo de actualización, y una vez transcurrido, tendremos una shell en nuestra escucha

Revisamos como acceder a la flag, pero este usuario no dispone de los permisos apropiados

 

Obteniendo la flag de user

Continuando en búsqueda de la flag, probamos el acceso con el usuario ipmi-svc con la clave que descubrimos antes y conseguimos la flag de user

 

Escalado de privilegios

Ahora que ya tenemos la primera flag, revisamos los permisos del usuario, pero este no es capaz de hacer nada como root

Así que vamos a buscar por otros medios. 

Después de un rato dando vueltas, recordamos el zabbix a través del accedemos, y verificamos que hay un servicio de mysql corriendo en la máquina, por lo que obtenemos las credenciales del mismo en los ficheros de configuración de zabbix

Revisamos el mysql y vemos algunas cosas pero parece que son todo agujeros de conejo así que seguimos y observamos la versión de mysql instalada en el sistema que no es otra que 10.3.25-MariaDB, la cual, es vulnerable a CVE-2021-27928 que dispone también de un exploit público en github

Así que siguiendo las indicaciones, en primer paso generaremos nuestro payload con msfvenom

Subimos el payload a la máquina, abrimos nuestra escucha y ejecutamos

Y abremos conseguido el acceso como root a la máquina

 

Obteniendo la flag de root

Como último paso vamos a la home y obtenemos nuestra flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace