Bizarre Adventure: Joestar ~ VulnHub

1. Mô tả:

A machine that simulates a gas tank system - Scada focus.

This works better with VirtualBox rather than VMware

2. Khai thác

Bước 1: Thu thập thông tin

Sử dụng công cụ arp-scan dò quét ip

arp-scan 192.168.44.0/24

Thu được ip victim 192.168.44.138

Tiến hành dò quét các cổng dịch vụ  trên máy victim

nmap -p- -sV 192.168.44.138

Trên máy victim hoạt động dịch vụ ssh-22, web-80, dns-53, mail-110 và 143. Còn 2 dịch vụ lạ là lmnr-5355 và 10001-scp-config  

Bước 2: Khai thác dịch vụ web

Mình truy cập website xem có gì không 

Một bức ảnh nhân vật Joestar của phim hoạt hình Bizarre Adventure họ cho ta một gợi ý hãy tìm kiếm bạn sẽ tìm thấy câu trả lời. Mình thực hiện dò quét đường dẫn url có thể truy cập

Phát hiện đường dẫn /images, /documents có thể truy cập mình truy cập vào từng đường dẫn đó

Thấy đường dẫn ảnh thì toàn ảnh không có gì chú ký để khai thác khi mình mở kiểm tra, tiếp đến thư mục tài liệu mình thấy các tài liệu trên mình để ý thấy một tài liệu là Info Tank Status.xlsx mình tải nó về và mở ra

Thấy một số giá trị I20 gì đó và trạng thái của nó thấy một giá trị I20555 báo ERROR giá trị này có gì đặc biệt nhỉ, mình tìm hiểu trên mạng có bảng gọi là TLS-350 Display Format Command

Giá trị mô tả command trên chỉ trạng thái mình phát hiện trong cơ sở dữ liệu của metasploit tồn tại một lỗi liên quan đến nó là Veeder-Root Automation Tank Gauge (ATG) Administrativ Client 

Dùng lệnh kiểm tra cấu hình mã độc

show options

Thấy được thông tin cần cấu hình mình chuyển sang bước 3

Bước 3: Tìm các kết nối điều khiển

Thực hiện lệnh cậu hình để điều khiển victim từ xa 

set rhosts 192.168.44.138

show actions

set action VERSION

run

Thông báo hiển thị đã thực hiện gửi shell kết nối đến máy victim, khi lệnh này được thực thi thì mình có thể khai thác ở port 10001, mình sử dụng lệnh 

nc -nv 192.168.44.138 10001

ctrl+A

I200100

Lệnh trên mình đã hiển thi lên trạng thái Tank status thời điểm 28/7/2021 lúc 9h11p

Mình thay giá trị trên bằng giá trí báo lỗi khi kiểm tra trạng thái ở tệp tin Tank info trên và mình kiểm tra các port mở phát hiện một port 2222 đang mở mình kết nối netcat tới port đó và thành công truy cập vào với user có tên là josetar

nc -nv 192.168.44.138 10001

ctrl+A

I20555

nmap -p- 192.168.44.138

Phiên truy cập này chỉ tồn tại trong khoảng 2 phút nên thao tác phải nhanh, mình gõ lệnh id

phát hiện user này có thể sử dụng lxd vậy nên mình lợi dụng lxd để leo thang ở bước 4

Bước 4: Leo thang

Tạo mã độc

Ubuntu 18.04 - 'lxd' Privilege Escalation - Linux local Exploit (exploit-db.com)

GitHub - saghul/lxd-alpine-builder: Build Alpine Linux images for LXD

Tham khảo cách leo thằng sử dụng lxd tại link

lxd/lxc Group - Privilege escalation - HackTricks