Delivery est une machine HTB classée facile.
1 – Scan de port
En effectuant un scan de port sur la machine, nous pouvons voir que les ports 22, 80 et 8065 sont ouverts.
Les ports 22 et 80 sont de base les ports ssh et http. Le port 8065 quant à lui est inconnu pour l’instant.
En se rendant sur la page internet du serveur, nous découvrons une single page. Celle ci contient deux liens.
Un lien vers http://delivery.htb:8065/login et un autre vers http://helpdesk.delivery.htb/
nous ajoutons ces deux sites à notre /etc/hosts.
En réactualisant les deux pages nous avons accès aux deux sites.
L’un est une page vers un serveur Mattermost sur le port 8065, nous avons la notre dernier port inconnu. Mattermost est un logiciel et un service de messagerie instantanée libre auto-hébergeable. Il est conçu comme un chat interne pour les organisations et les entreprises, et il est présenté comme une alternative à Slack et Microsoft Teams (WIKIPEDIA)
La deuxième page est un système de tickets. Un système de gestion des tickets est un logiciel qui aide à rationaliser les tickets de support client. Le logiciel de gestion des tickets fournit tout le contexte dont a besoin une entreprise pour résoudre les problèmes et il permet également de hiérarchiser, de suivre et d’automatiser les tâches quotidiennes de support.
2 – Enumération
En regardant le premier site de plus près, lorsque nous avons trouvé les liens, il est dit qu’il faut avoir une adresse @delivery.htb pour avoir accès au site Mattermost.
En créant un ticket sur le site de ticket, une adresse en @delivery.htb nous est fournie pour pouvoir envoyer des informations au site sans y avoir accès.
Nous créons un ticket et prenons l’adresse mail pour pouvoir créer un compte sur Mattermost.
Une fois ceci fait nous avons accès au site Mattermost et les identifiants ssh nous sont fournis.
3 – Elévation de privilège.
Une fois connecté sur le ssh, nous énumérons un peu et nous trouvons un mot de passe pour pouvoir nous connecter au logiciel mysql dans les fichiers de configuration de Mattermost.
Une fois connecté, nous avons le mot de passe root mais chiffré.
Lors de l’énumération sur le site Mattermost, il nous est conseillé de faire attention au mot de passe et de ne pas utiliser un mot de passe qui ressemble à PleaseSubscribe!
Pour cela nous allons utiliser le logiciel hashcat qui va créer différentes variantes au mot de passe
echo PleaseSubscribe! | hashcat -r /usr/share/hashcat/rules/best64.rule --stdout > wordlist.txt
une fois ceci fait, nous crackons le mot de passe à l’aide de john the ripper
john root.hash --wordlist=wordlist.txt
Et voila, nous avons le mot de passe root.
Nous nous y connectons et avons accès au flag root.txt
Voici un excellent article parlant de ceci
https://medium.com/intigriti/how-i-hacked-hundreds-of-companies-through-their-helpdesk-b7680ddc2d4c