Poison adalah salah satu mesin FreeBSD yang retired di Hack The Box yang bisa dibilang cukup mudah namun sedikit unik. Salah satu mesin yang paling saya suka it was a very nice box, and i enjoyed it so here’s my write-up about it.
Initial Enumeration
Pertama-tama yang kita harus lakukan adalah network mapping dahulu atau biasa disebut enumeration.
Biasanya gw pake scanning tools NMAP yang udah ada semuanya di KALI Linux tinggal pake aja.
Dari hasil scanning pake NMAP dapet info kalo ada port 80 dan 22 yang terbuka, itu artinya ada port HTTP dan SSH yang bisa di akses.
Dari hasil NMAP ada port 80 (HTTP) artinya port tersebut bisa diakses lanjut enumerasi, info apa aja yang didapet dari web tersebut.
sebagai pentester kalian harus paham ada informasi apa saja yang sekiranya akan memberikan petunjuk. Disini webnya ternyata kasih informasi kalo "sites to be tested: ini.php, info.php, listfiles.php, phpinfo.php"
setelah kita cek one-by-one dari nama file diatas ternyata ada informasi password nama filenya PWDBACKUP.TXT
then, curl file pwdbackup.txt tadi menggunakan KALI Linux.
# curl http://10.10.10.84/browse.php?file=pwdbackup.txt
Dari hasil curl ada info lagi kalo ternyata "this password is secure, it's encoded atleast 13 times.." menggunakan base64. How i know pake base64?(Googling) dari petunjuk diatas kalo gw cara bacanya gini walaupun passwordnya secure tapi cuma di encode 13kali artinya setelah 13kali harusnya dapet passwordnya nih lol.
Agar lebih mudah, download file pwdbackup.txt supaya bisa didecode menggunakan KALI Linux (again). Jangan lupa untuk rename nama filenya supaya nanti lebih gampang eksekusinya.
Then, decode nama file yang tadi udah direname menggunakan command berikut:
Jangan lupa untuk decode sampe 13kali tinggal tambahin aja base64-d jadi 13.
# cat namafile.txt | base64 –d
Dan passwordnya adalah "Charix!2#4%6&8(0"
dari hasil enumeration lebih lanjut ternyata web ini juga terdapat kerentanan LFI(local file inclusion), bisa tambahin ini di belakang URL nya “?file=../../../../etc/passwd” atau curl menggunakan KALI Linux untuk melihat user siapa saja yang terdapat didalamnya.
# curl http://10.10.10.84/browse.php?file=../../../../../etc/passwd
Dari hasil curl, ternyata ada user charix sekarang kita udah punya user dan password yang tadi udah berhasil kita decode. Dari hasil scan menggunakan NMAP tadi juga ada port 22 (SSH) yang open then, we can try to login menggunakan user charix ini menggunakan SSH di KALI Linux (again).
# ssh charix@10.10.10.84 Charix!2#4%6&8(0
Privilege Escalation
Setelah berhasil masuk ke user charix. Sekarang kita bisa lihat ada informasi apa aja didalam akun ini.
wow ada user.txt. Selanjutnya privilege escalation untuk mendapatkan koentji root.txt ini ada dimana
Lanjut enumeration lagi didalam user charix ini ada service apa aja yang sedang berjalan.
# ps -auxwww
Dari hasil enum didalam user charix ini ada service VNC dengan port 5901 yang sedang berjalan. Dari hasil penelitian menggunakan google lol ternyata VNCViewer biasanya berbasis desktop (GUI) jadi kita gabisa pake putty/mobaxterm harus menggunakan KALI linux Desktop.
Karna vncviewer ini menggunakan port 5901 dan terdapat di localhost. So, kita harus forwarding port dulu ke localhost
# ssh -L 5901:127.0.0.1:5901 charix@10.10.10.84
Didalam akun charix kalo kalian lihat ada file secret.zip, dan di dalam secret.zip itu ternyata ada password untuk login ke dalam VNC sebagai root cara bacanya pake vncpasswd bisa download di github link dibawah:
https://github.com/jeroennijhof/vncpwd
# git clone https://github.com/jeroennijhof/vncpwd.git
buka compilenya pake command dibawah ini:
# gcc vncpwd.c -o vncpwd
Copy filenya dari home/charix ke direktori yang ada di KALI, jangan lupa di unzip.
then, jalankan perintah ./vncpwd secret dan sekarang udah dapet password untuk login sebagai root di VNC yaitu "VNCP@$$!"
Sekarang connect to SSH menggunakan port yang tadi udah di forward untuk mendapatkan connect balik menggunakan vncviewer.
Jalankan vncviewer di KALI Linux tunggu beberapa saat sampai muncul tab serverDialog.
lalu, karna port 5901 ini ada di localhost berarti kita input localhost:5901
Masukan password VNC yang tadi kita udah dapatkan, tunggu beberapa saat dan voila!
root.txt nya adalah koentji!
Thank you Hack The Box and Happy Hacking!
https://www.hackthebox.eu/home/users/profile/24466
by: Kristin Paulina