MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)

Envié un ping para verificar la conectividad y según el ttl puedo ver que estoy ante una maquina linux.

Ejecute nmap con lo siguientes comandos para ver los puertos abiertos:

sudo nmap -p- --open -sS --min-rate 4000 -vvv -n -Pn 192.168.134.98 -oG Basicscan.tx
# -p-: escaneo todo el rango de puertos (65535)
# --open: le solicitamos a nmap que me escaneo solo los puertos abiertos
# -sS: Realiza un escaneo sigiloso (SYN scan), lo que hace es enviar un paquete de s
# --min-rate: es la contidad de paquetes que queremos enviar (velocidad)
# -vvv: muestra informacion a medidad que vaya encontrando los puertos.
# -n: no realiza solicitudes DNS.
# -Pn: evita la exploracion de puertos y solo realiza la exploracion del host.

Seguido ejecuto una serie de scripts básicos de reconocimientos incluidos en nmap como también unos script para ver las versiones de esos servicios.}

nmap -p <puertos encontrados> -sCV <IP> -On fullscan.txt

Ya terminado el escaneo, observo muchas cosas interesante:

En el puerto 22 es vulnerable a enumeración n de usuarios, pero no poseo usuarios, lo mismo con el puerto 2222.

En el puerto 139/445 esta corriendo una version samba 4.9.5

Actualmente no contiene nada.

En el puerto 631 esta corriendo un servico IPP 2.1

llamado CUPS 2.2.10

Procedo a buscar info sobre este servicio, lo que también veo es que contiene una vulnerabilidad "CVE-2018-4300"

En el puerto 2181 esta corriendo un servicio zookeeper 3.4.6

Esto es interesante porque al parecer contiene datos criticos.

El puerto 8080 http contiene un pagina web "jetty 1.0" que no contiene nada interesante

El puerto 8081 corre otro servidor web ngix este contiene una interfaz grafica de zookeeper con su version 1.0

Como ya tengo una visión sobre lo que tengo, lo que realizo es una búsqueda de exploit o vulnerabilidades de lo encontrado, mientras tanto dejo correr enum4linux para ver mas info sobre la maquina.

enum4linux-ng 192.168.134.98

Para el servicio IPP > CUPS encontré varias vulnerabilidades las siguientes:

Para zookeeper lo siguiente:

Me centre en la vulnerabilidad de ZooKeeper para ellos busque información sobre esta vuln y encontré que se puede realizar un RCE, para CUPS también se podría realizar un RCE.

INFO:

Para realizar la explotación del zookeeper segun la Prueba de concepto realizo lo siguiente:

• . Me dirijo a Config

• . Activo la sección editing a ON

• . Luego coloco mi revershell dentro del apartado "java.env strings"

• . guardo la modificación con commit > all at once > OK

• . y en otra terminal me pongo a la escucha con netcat.

Luego de unos momentos se realiza la conexión, y ya me encuentro dentro de la maquina.

Realizo un breve reconocimiento de la maquina.

uname -a; lsb_release -a; cat /etc/passwd | grep 'sh$', id

Busco la forma de escalar privilegios, para ellos ejecuto el siguiente comando:

find / -user root -perm /4000 2>/dev/null

En esta parte lo que me llamo la atención fueron estos binarios, tanto como ntfs-3g y bwrap son vulnerables a escalada de privilegios.

ntfs-3g se puede abusar de esto pero el ubuntu debe ser de version 7/8/9 y esta version es 10.

Por lo que me centro en ntfs-3g.

Ejecute un sudo -l y vi algo interesante:

El binario gcore no requiere contraseña para ser ejecutado por lo que paso a buscar este binarios en gtfobins.

Como no se el PID ya que me lo requiere, con el comando ps aux listo todos los procesos.

ps aux

Ese binario se encuentra en la búsqueda de binario que realice con el comando find.

Con sudo ejecuto lo requiero por gtfobins y al parecer me crea un archivo llamado core.494.

Con el comando strings leo el contenido y observo que hay una ruta siendo ejecutado como root.

Realizo un su root y coloco esta contraseña y ya soy root.