Shibboleth 10.10.11.

124
1. Часть 1. Чтение user.txt
1) Сканирование портов UDP и TCP

2) Так как используется доменное имя, требуется записать его в /etc/hosts

3) Для поиска директорий веб-приложения использовал ffuf

4) Из-за того что использовалось доменное имя в веб-приложении, я предположил, что в этом
задании будут виртуальные хосты. Использовал gobuster, но можно было и wfuzz

5) После того, как нашел виртуальные хосты, добавил их в /etc/hosts

6) Запустил поиск директорий на только что полученных веб-приложениях

http://monitor.shibboleth.htb
http://monitoring.shibboleth.htb

http://zabbix.shibboleth.htb
Судя по одинаковым директориям и общей главной странице, решил, что веб-приложения
идентичны

7) Заметил, что используется zabbix, начал поиск его уязвимостей

Ни одна из уязвимостей не подошла

8) Решил узнать, что находится на 623 udp-порту и есть ли в нем уязвимость

В поисковой системе ввел «zabbix asf-rmcp», перешел на официальную страницу и узнал про
Zabbix IPMI

Searchsploit не дал мне нужную информацию. Обратился к метасплойту

9) Использовав модуль 5 (CVE-2013-4786 - уязвимость протокола IPMI, позволяющая получить

доступ к хэшам паролей пользователей, система отдает хэши без авторизации), получил логин
и хэш пароля

10.10.11.124:623 - IPMI - Hash found:

Administrator:f477fd2d820100004f7e4e99e2e998fca9f28358f6d2e70a4507ee35f129c5d445f60a3dc2b
58296a123456789abcdefa123456789abcdef140d41646d696e6973747261746f72:c36b5e0b5c36ae274e
c9b0e4093edc86a1506a9b

10) Для расшифровки хэша с солью использовал hashcat и словарь с популярными паролями
rockyou
11) Паролем оказался следующий набор символов: ilovepumkinpie1

После ввода логина и пароля: Administrator и ilovepumkinpie1, попал на данную страницу

12) Чтобы получить доступ к машине, использовал reverse shell, для этого открыл порт на
прослушивание на своей машине

13) Записал код в Item, с помощью которого заставил удаленную машину подключиться к своей
(это получилось потому, что в конфигурационном файле zabbix у параметра
EnableRemoteCommands стоит значение 1, тут была произведена модификации потому, что
при использовании базовых настроек значение этого параметра 0)
14) Попав на машину, обнаружил, что с помощью начальной учетной записи не имею
возможность прочесть флаг. В папке /home увидел ipmi-svc – это означает, что существует
учетная запись с таким именем. В качестве пароля попробовал пароль, которым я зашел в веб-
приложение, и он подошел

2. Получение доступа к руту и чтение рут-флага

1) Первым делом прописал netstat -a, чтобы посмотреть tcp-соединения
2) После просмотра запущенных процессов от рута (ps -U root- u root), я также увидел mysql.
Решил попробовать получить учетную запись рута с помощью mysql
3) В /etc/zabbix/zabbix_server.conf нашел имя учетной записи, название базы данных и пароль

4) Подключился к базе данных

5) Узнал, что данная версия сервера обладает уязвимостью CVE-2021-27928. На github’е нашел
способ её эксплуатации. Скопировал файлы, требующиеся для воспроизведения атаки
6) Запустил метасплойт и собрал библиотеку для reverse shell’а

7) Для передачи данного файла открыл у себя на машине простой веб-сервер

8) На удаленной машине перешел в папку /tmp (каталог, в котором хранятся временные файлы и
в котором при обычных настройках у всех учетных записей есть полный доступ: чтение,
запись, удаление и запуск)

9) В новом терминале открыл порт на прослушивание, записал в базу данных библиотеку,

позволяющую воспроизвести удаленный доступ

10) Reverse shell сработал и я получил доступ к учетной записи рута