[HackTheBox] – Mango

Sebuah box dengan OS Linux dengan IP 10.10.10.162

Menurut review dari peserta lain, box ini akan terfokus ke enumerasi, real-life dan CVE.

Mari kita mulai dengan nmap dan dirbuster

Terdapat port 22, 80, dan 443 dari nmap scan dan file menraik analytics.php

index.php

analytics.php

Keduanya merupakan rabbit hole, kita ganti ke https dan cek certificate. Oh ternyata ditemukan vhost yaitu staging-order.mango.htb

Ditemukan login page, menurut clue dari nama box, dan theme yang berfokus kepada mango. Maka ditentukan bahwa kita harus mengexploitasi mongoDB Nosql.

Bypass login berhasil, login page vulnerable terhadap injection, kita mendapatkan 302, redirection ke home.php

Tidak ada apa-apa, kalau begitu mari kita mengorek credentials menggunakan scripting dan exploitasi nosql tadi.

Saya mengambil referensi dari

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/NoSQL%20Injection

dan membuan script seperti

Terlihat saya memasukkan username mango, mango didapatkan dari mana? Bisa menggunakan script yang ini saja, hanya perlu memodifikasi sedikit2. Kita mendapatkan 2 credentials

user : admin
pw : t9KcS3>!0B#2

user : mango
pw : h3mXK8RhU~f{]f5H

Karena kita sudah mendapatkan credentials, mari kita coba untuk masuk ke ssh menggunakan credentials tersebut

SSH menggunakan credentials admin tidak menghasilkan apa-apa.

Namun kita bisa masuk ke SSH dengan menggunakan credentials mango.

Terdapat user.txt pada directory /home/admin/user.txt

Namun kita tidak memiliki permission to read.

Kita lakukan su admin dengan password yang kita dapatkan diatas

Sekarang kita bisa cat user.txt nya

79bf31c6c6eb38a8567832f7f8b47e92

Tetapi admin pun tidak memiliki permission root untuk membaca root.txt, mari kita jalankan enumerasi linux

Langsung saja kita ke GTFOBins

https://gtfobins.github.io/gtfobins/jjs/

Kita bisa melakukan read ke root.txt dengan menggunakan payload

Root.txt didapatkan

8a8ef79a7a2fbb01ea81688424e9ab15

Sekarang kita akan mendapatkan root shell, dengan menggunakan jjs juga melakukan write rsa pub key yang sudah kita ssh-keygen kedalam /root/.ssh/authorized_keys

Copy isi dari rsa key public dan echo kedalam authorized_keys dengan

Setelah successful copy, buka local machine dan connect secara ssh dengan menggunakan rsa private key yang sudah dibuat tadi.

Jika ini terjadi, chmod saja agar permissionnya hanya root yang bisa akses, sisanya 00-kan

chmod 700 id_rsa

Coba connect lagi, dan…

 

Leave a Reply

Your email address will not be published. Required fields are marked *