MAQUINA CHOCOLATEFIRE (Openfire CVE-2023-32315 + FORCE BRUTE SSH + PRIVESC SUBSHELL o PERM SUID bash

Realice un reconocimiento o escaneo de puertos básicos para verificar cuales se encuentran abiertos dentro de la maquina.

Ya terminado veo que tengo varios puertos en open por lo que realizo otro reconocimiento a travez de nmap para ver un poco mas detallado los servicios y las versiones de cada puerto.

1: Tengo el puerto 22 ssh de versión un poco ambigua pero como no tengo ningun nombre de usuario ni ninguna credencial no voy a poder acceder

2: En el puerto 5222 tengo un servidor openfire de versión 3.10 (https://www.igniterealtime.org/projects/openfire/)

3: En el puerto 5269 hay un servicio xmpp (https://www.genbeta.com/windows/wildfire-la-forma-mas-sencilla-de-montar-un-servidor-jabber)

4: En el 7070 hay un servicio web al parecer

5: Luego hay un 7777 y le mas interesante es el 9090 donde corre un servicio web.

Al entrar a los puertos 5222,5269,7070 y 7777 no me envían a ninguna lugar, por lo que descarto estos puertos por el momento y ingreso al 9090 donde me tengo algo interesante.

Estoy ante un panel de sesión y tengo la versión del openfire 4.7.4, al buscar por searchsploit esta no posee ninguna vuln para aprovechar.

Así que paso a buscar info sobre este servicio en google donde me encontré mucha info.

La versión de openfire como me indico el informe es versión 3.10 por lo que es vulnerable a un path traversal CVE-2023-32315.

En esta web me indica que este CVE-2023-32315 es una vulnerabilidad de paso de ruta que afecta a la Abrir consola de administración, tengo la forma de hacerlo manual o con metasploit por lo que voy a realizarlo manualmente.

Realice un escaneo de directorios en la URL que corre por el puerto 9090 no encontrando nada interesante.

En gihub encontré esta herramienta la cual me crea a través de un exploit un nombre y una contraseña para ingresar al servicio openfire a través del panel de sesión.

https://github.com/miko550/CVE-2023-32315/blob/main/README.md

Ya colocado los requerimientos de la herramienta ya tengo el usuario.

Ahora con estas credenciales voy al panel de sesión, me logue y realizo un reconocimiento de la web.

Lo interesante que encontré fueron usuarios y un apartado donde puedo subir archivos (.jar)

Siguiendo los pasos del exploit, en el apartado plugins al ver que puedo subir archivos (.jar) voy a subir el siguiente archivo donde contiene una webshell --> openfire-management-tool-plugin.jar

Una vez subido me aparece lo siguiente y realizo lo siguiente.

Una vez que este dentro de managment tool me va a pedir una contraseña la cual según el exploit es "123"

Ya una vez logueado tengo acceso a varios utilidades del sistema.

Lo mas interesante acá es la parte de system commando donde puedo ejecutar comandos como root tales como whoami, ls, etc.

Trate de realizar un RVshell pero no tuve éxito, por lo que al ver el /etc/passwd veo que tengo 2 usuarios "pinguinaso y "chicolatitochingon".

Ahora lo agrego a la lista de mis usuarios que encontré en la web en la sección USERS y noto que tengo 1 repetido "chocolatitochingon" asi que paso a realizar fuerza bruta con hydra a ver si su contraseña es facil de decifrar.

Ya teniendo esta credencial voy a ingresar a través del ssh y adentrarme ya dentro de la maquina.

Ahora paso a buscar la forma de realizar una escalada de privilegios en este caso voy a mostrar 2 formas de realizar.

Primero ejecuto un sudo -l y me muestra un binario llamado dpkg pero este lo puede ejecutar el usuario pinguinacio (ojo) así que lo paso a buscar en gtfobins.

Ejecuto este binario como pinguinacio y me sale un lista de archivos para ejecutar asi que directamente escribo !/bin/bash y automáticamente cambio de usuario siendo ahora pinguinacio.

Como soy pinguinacio ejecuto otra vez sudo -l y veo que tengo puedo ejecutar el script.sh que este mismo tiene permisos de root.

El script al ejecutarlo me esta solicitando un imput o una entrada por lo que acá en busca de mucha info encontré que puedo realizar subshell (algo nuevo para mi) con el siguiente comando.

Al pasarle el comando de la subshell me pivotea el usuario a root :D

La otra forma de escalar privilegios es de la siguiente manera, voy al panel de ejecución de comandos en la web y veo que al realizar un whoami soy root por ende si le doy permisos de SUID a la bash, me logueo y realizo un /bin/bash -p automáticamente paso de ser usuario "chocolatechingon a root"