MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_

Realizo un verificación de la conectividad de la ip victima hacia mi maquina atacante.

Con nmap realizo un búsqueda de puertos abiertos dentro de la ip.

Como tengo 3 puertos abiertos con nmap realizo un escaneo básico de reconocimientos con unos scripts propios de la herramienta para ver los servicios y versiones de esos puertos.

Luego cuando termina el escaneo de reconocimiento realizo un escaneo de vulnerabilidades en los puertos abiertos, pero esta no encontró nada.

En el puerto 22 ssh no puedo ingresar por falta de credenciales, en el puerto 3000 tengo un servicio web donde hay un LOGIN y en l puerto 9090 tengo otro puerto http donde al parecer hay una web llamada PROMETHEUS.

Seguidamente realizo un escaneo de tecnologías con whatweb agregándole la ip + el puerto 3000 pero esta vez le agrego el parámetro -v y esta me devuelve mucha información mas interesante.

La herramienta me muestra la versión del servicio que esta corriendo en este caso es GRAFANA 8.3.

Ingreso al sitio web y me encuentro un panel de sesión y también con otra herramienta llamada wappalyzer veo mas tecnologías que corren en el sitio web.

Al tener esto busque credenciales por defecto pero no obtuve resultado.

Ahora ingreso al servicio web que corre por el puerto 9090 donde me topo con un sitio web llamado PROMETHEUS.

Al buscar info en el sitio web me encuentro la version que esta corriendo el sitio web y que esta siendo ejecutado por root.

Como ya tengo versiones de los 2 servicios que estan corriendo en las 2 webs me puse en busqueda de algun exploit para aprovechar.

Con searchsploit encontré un RFI pero no puedo ejecutarlo porque es para versiones 3.0 en adelante, pero en al buscar la versión de grafana me tope con que es vulnerable a un directory traversal .

Me descargo el exploit y verifico como funciona.

El exploit al parecer esta ejecutando un paylaod y luego puedo leer un archivo dentro del sistema.

Ejecutando el exploit pude leer el archivo /etc/passwd donde puedo observar varias cosas lo mas interesante es que tengo tres usuarios: root, sysadmin y prometheus.

Como puedo leer archivos, busque la forma de leer bases de datos y de mas en la ruta grafana.ini.

Al pasarle esa ruta observe que la base de datos es sqlite3 y observando bien me tope que una posible password.

https://github.com/jas502n/Grafana-CVE-2021-43798?tab=readme-ov-file

Leyendo este repositorio de github hay un script escrito en GO el cual descifra y me devuelve en texto plano la password que encontré anteriormente.

Al ver el exploit suplante la password cifrada por la mía encontrada.

Con éxito la herramienta me muestra en texto plano la password, ahora teniendo esto y 3 usuarios voy a probar si son validas para ingresar a la maquina.

La contraseña es valida para el usuario sysadmin por lo que a través del puerto 22 ingreso a la maquina.

Ya dentro realizo una reconocimiento de la maquina.

Cuando ejecute linpeas pude ver que el grupo disk es un vector vulnerable, así que me puse a buscar la forma de explotar esto.

https://book.hacktricks.xyz/es/linux-hardening/privilege-escalation/interesting-groups-linux- pe

En hacktrixks encontre lo siguiente, como dice en el apartado puedo ejecutar comandos como root asi que empiezo ejecutando lo que me muestra en la imagen.

Primero me encontré con otro disco llamado /dev/sda2

Al ejecutar el comando debugs /cd root esta me muestra un archivo llamado proof.txt pero no lo leo porque no soy root.

También observe el /etc/shadow.

Y lo mas importarte que puedo ver la id_rsa del usuario root, asi que paso a guardarme la id_rsa y la guarda en mi maquina atacante.

Una vez guardada le doy permisos 600 y a través del ssh indicándole con el parámetro -i la id_rsa ingreso sin contraseña a la maquina como usuario root.