[HackTheBox] – Obscurity

Posted on by Bryan Lee

HackTheBox Obscurity

Mari kita lakukan recon pertama-tama, dengan menggunakan nmap

Mari kita coba akses service http yang ada di port 8080

Ada tampilan seperti halaman blog tentang 0bscura, jika scroll kebawah maka kita akan mendapatkan clue seperti

Nampaknya pembuat box menginginkan kita menemukan script python SuperSecureServer.py yang ada di sebuah directory. Maka untuk mencarinya kita bisa menggunakan wfuzz

Kita menemukan script SuperSecureServer.py di directory develop

Penulis kurang mengerti maksud dari pembuat box karena menurut penulis, script yang diberikan kurang lengkap atau memang disengaja tidak diperlihatkan semuanya, tidak ada body dari scriptnya hanya object-object. Namun ada satu bagian yang menarik perhatian, yaitu fungsi exec di bagian serveDoc. Kita mungkin bisa melakukan RCE, namun perlu menelurusi scriptnya terlebih dahulu baru mendapatkan entry point dari command kita.

Memasukkan directory random, akan menghasilkan code 404, penulis juga menemukan xss reflected yang tadinya dikira bisa digunakan somehow

Namun saat penulis ingin mengembangkan vuln xss tersebut, penulis menemukan hal yang ganjil, setiap kita memasukkan tanda ‘ maka page akan mereturn connection reset

Saat ini penulis memiliki 2 dugaan, bahwa jalan yang harus dilalui adalah exploitasi xss namun ada firewall atau blacklist, atau RCE melalui input url directory seperti yang diduga dari awal setelah membaca script SuperSecureServer.py

Kita ternyata bisa melakukan RCE dan revshell melalui input url tadi

Kita mendapatkan revshell sebagai www-data, abaikan error message EOL tersebut.

Masuk ke directory home/robert kita bisa melihat user.txt

Namun www-data tidak memiliki permission untuk membuka user.txt, kita harus mengauthentikasi sebagai robert

Isi dari file check.txt

Isi dari file out.txt

Isi dari file SuperSecureCrypt.py

Isi dari file passwordreminder.txt

Kita diberikan sebuah plaintext (check.txt ) sebuah output (out.txt ) dan sebuah script untuk enkripsinya (SuperSecureCrypt.py ) dan password dari user robert (passwordreminder.txt ). Mari kita reverse dan dapatkan key nya untuk melakukan decrypt password robert.

Penulis membuat script dibawah ini untuk mereverse key nya

Key yang digunakan adalah alexandrovich, mari kita menggunakan SuperSecureCrypt.py untuk decrypt

Password untuk robert didapatkan, SecThruObsFTW

Mari kita login melalui SSH

user.txt : e4493782066b55fe2755708736ada2d7

Berikut hasil dari LinEnum.sh