Walkthrough – Lame (HTB)

In diesem Beitrag beschreibe ich meine erste Maschine, die ich bei Hack The Box gelöst habe. Da es meine erste Box war, brauchte ich leider an einer Stelle einen Hinweis. Dennoch war es interessant diese einfache Maschine zu lösen.

Recon

Nach dem Start der VM ist diese über das VPN von Hack The Box erreichbar. Mittels ping sehe ich, dass ich die Maschine unter der IP 10.10.10.3 erreichen kann.

Ein Scan der Ports mit nmap bringt mir:

PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3632/tcp open distccd

139 und 445 sind Ports für samba. Ein erster Verbindungsversuch klappt leider nicht. Der Befehl unten bringt nur eine Fehlermeldung.

Nach Recherche zu dem Fehler habe ich herausgefunden, dass die Maschine vermutlich SMBv1 verwendet, die seit langem deprecated ist. Mit der folgenden Option im Befehl kann man aber SMBv1 erzwingen:

Damit kann man sich mit der Maschine verbinden und bekommt folgende Infos:

Enter WORKGROUP\root’s password:
Anonymous login successful

Reconnecting with SMB1 for workgroup listing.
Anonymous login successful

In die einzelnen Verzeichnisse kann man sich entweder als anonymer User nicht verbinden oder es sind keine interessanten Daten enthalten, bspw. in /tmp .

smb: > dir
. D 0 Tue Jul 14 09:39:02 2020
.. DR 0 Sun May 20 20:36:12 2012
5118.jsvc_up R 0 Tue Jul 14 09:09:05 2020
.ICE-unix DH 0 Tue Jul 14 09:07:57 2020
.X11-unix DH 0 Tue Jul 14 09:08:22 2020
.X0-lock HR 11 Tue Jul 14 09:08:22 2020

7282168 blocks of size 1024. 5678808 blocks available

Exploit

Die Maschine nutzt also SMBv1. Dies ist die Stelle, an der ich Hilfe brauchte. Wenn man nach CVEs sucht zu SMBv1, findet man extrem viele und mir fiel es im ersten Moment schwer, hier etwas brauchbares zu finden in der Menge.

Der CVE-2007-2447 ist die richtige Adresse. Denn zu diesem CVE gibt es ein fertiges Modul in Metasploit. Der folgende Befehl startet das Modul in Metasploit:

Mit „show options“ werden die Parameter angezeigt und „set RHOSTS 10.10.10.3“ legt die Ziel-IP-Adresse fest. Der Befehl „exploit“ führt das Script anschließend aus und liefert direkt eine root-Shell auf dem Opfer-System.

Hier finden sich dann die Flags in /home/makis (user-flag) bzw. in /home/root (root-flag).

Zusammenfassung

Das grundsätzliche Problem des Opfer-Systems ist das veraltete Samba. In der Version 1, die auch seit längerem deprecated ist, finden sich viele Sicherheitslücken und das Metasploit-Modul funktioniert erschreckend einfach. Dass man damit sofort eine root-Shell auf dem Zielsystem hat, ist als besonders kritisch anzusehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.