Descripcion

[+] A CTF created by https://twitter.com/0katz
[+] Difficulty: Easy/Intermediate
[+] Tested in VirtualBox
[+] Note: 2 ways to get root!

[mirror 1] https://download.pinkysplanet.net/VM/temple-of-DOOM-v1.ova
[mirror 2] https://download.vulnhub.com/templeofdoom/temple-of-DOOM-v1.ova.torrent

Enumeration

Una vez localizada la maquina con netdiscover , fing o cualquier otra herramienta, le lanzamos un nmap

Vemos que tiene un Node.js Express framework funcionando en el puerto 666 , visitamos la url http://192.168.1.139:666/ y nos encontramos esto :

pero… si volvemos a visitar la web de nuevo, refrescando la página, nos encontramos con …

investigando un poco me encuentro con el fallo bastante bien documentado y explicado :

https://blog.websecurify.com/2017/02/hacking-node-serialize.html
https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/

Deserializ4me

Para explotar este fallo necesitaremos capturar la cookie con burp y modificarla, reenviarla e inyectar nuestro RCE, vamos a ello!

Aquí tenemos el GET recibido en burp

Lo enviamos a repeater

Seleccionamos el valor de la cookie «profile» y lo enviamos a decoder, lo decodeamos en base64 y obtenemos algunos datos interesantes..

Ahora vamos a modificar esa cookie para inyectar nuestro payload a continuación y la volvemos a codear a base64:

Nos vamos a repeater, inyectamos en la cookie profile y go!!

hemos recibido un «hello admin» , veamos si ha funcionado nuestro payload conectandonos a la maquina con netcat

Perfecto! estamos dentro! Ahora escalemos privilegios…

Fireman

Lectura recomendada : https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/

Después de estar un rato mirando la maquina en local y el sistema de archivos, me doy cuenta que tenemos dos usuarios , fireman y nodeadmin (nuestro usuario ahora mismo) y mirando los procesos en ejecucion veo que fireman tiene un proceso llamado ss-manager

Ejecuto ese binario para investigar un poco y es un proxy socks5 :

https://shadowsocks.org/en/index.html
https://github.com/shadowsocks/shadowsocks-libev

existe un fallo publicado para la version que corre esta maquina :

https://www.x41-dsec.de/lab/advisories/x41-2017-010-shadowsocks-libev/

Despues de leerlo y comprenderlo, procedemos a explotarlo

w0w! podemos escribir con los permisos del usuario fireman! y … ¿qué podemos hacer con esto?
Pues después de probar varias cosas decido averiguar si fireman tiene permisos en el archivo /etc/sudoers.
Volvemos a inyectar otro payload para tal fin

Bingo! Tenemos tres aplicaciones con las que podemos usar sudo sin utilizar la contraseña.
Tras examinar las opciones e investigar en google, me encuentro con :

https://www.securusglobal.com/community/2014/03/17/how-i-got-root-with-sudo/

Parece ser que puedo escribir un script en un archivo y ejecutarlo con tcpdump con los permisos de sudo.

Se me ocurre descargar una reverse shell y ejecutarla contra una kali que escuche, esto nos debería enviar una shell con los permisos de root. Vamos a hacer el payload y lo averiguamos!

y en la consola que teniamos a la escucha…

Conclusiones

Me ha gustado mucho esta maquina porque me ha obligado a repasar mis linux skills.
Espero que a vosotros también os guste!
Recordad que en la descripción nos comentaban que teniamos dos formas de obtener root.. tienes tu otra?

LoRKa .-