HTB Business CTF 2022 - Operator

Assalamualaikum, teman-teman Masih lanjut pembahasan soal pada HTB Business CTF 2022, soal kali ini masih masuk dalam kategori cloud.

Dekripsi soal

We have located Monkey Business operator blog where they are leaking personal informations. We would like you to break into their system and figure out a way to gain full control.

Seperti biasa pertama kita scan dulu ip yang diberikan, untuk tau service apa saja yang berjalan pada server tersebut.

Terlihat ada 6 port yang terbuka, dari port tersebut terdapat service ssh, web server, kubernetes (8433 dan 10250), dan 2 service unknown.

80 - Web server

Akses Dari browser muncul sebuah website seperti di bawah ini.

Kita coba liat postingan yang ada pada website tersebut, ternyata menampilkan sebuah link yang mengarah ke port 3000 mesin tersebut.

3000 - Self-hosted git

Link yang kita dapatkan sebelumnya ternyata mengarahkan kepada sebuah repository git.

Saya coba explore service tersebut untuk melihat mungkin ada repository yang menarik lainnya. Ternyata memang ada repository lain, yaitu repository awx-operator

Coba explore lebih dalam lagi di repository tersebut, dan menemukan sebuah closed issue. Disitu tertulis bahwa ada repository lain bernama awx-k8s-config.

Coba akses repository tersebut dan lihat-lihat isi file yang ada. Seperti repository tersebut berisi file manifest untuk deploy awx-operator di kubernetes. Pada history commit repository tersebut saya mendapatkan password untuk login ke dashboard awx-operator. 

30080 - Awx dashboard

Akses ke dashboard menggunakan kredensial yang sudah didapatkan, berikut tampilannya

Cara kerja awx kurang lebih seperti ini, pertama dia akan mendeploy sebuah pod pada kubenetes kemudian menjadikan pod tersebut sebagai runtime ansible playbook. Dengan cara kerja seperti itu kita bisa membuat sebuah playbook untuk mendapatkan kubernetes token pada pod untuk kemudian kita gunakan untuk mengakses kubernetes cluster.

Pertama kita buat user dan repository baru pada service gogs di port 3000, kemudian isi repository tersebut dengan ansible playbook kita yang membaca file /var/run/secrets/kubernetes.io/serviceaccount/token yang berisi token. Berikut ansible playbook yang saya gunakan.

Kemudian pada awx dashboard kita buat project baru yang bersumber dari repository yang sudah buat. 

Lalu kita buat job template dari project tersebut untuk menjalankan playbook.

Selanjutkan kita jalankan job tersebut, tapi ternyata mendapatkan error. Sepertinya file yang berisi token tidak ada pada pod yang dijalankan.

Setelah googling beberapa saat diketahui kemungkinan parameter automountServiceAccountToken bernilai false saat pod dijalankan. Pada awx kita bisa mengubahnya Instance Group -> pilih group -> customize pod configuration.

Sekarang jalankan kembali job yang sudah dibuat. Akhirnya berhasil mendapatkan token.

Selanjutnya kita coba jalankan kubectl pada pc kita menggunakan token yang sudah didapatkan.

Tapi ketika coba menjalankan command mendapatkan error permission. Sepertinya user token yang kita dapat memiliki priviledge yang rendah. Kita bisa menggunakan user yang kita tau yaitu awx-operator-controller-manager yang bisa kita tau dari file awx-operator.yaml pada pada awx-k8s-config. Kita bisa mengubahnya pada customize pod configuration.

Jalankan kembali job untuk mendapatkan token yang baru. 

Sekarang coba jalankan kembali kubectl menggunakan token yang baru, disini saya coba cek permissionnya.

User yang didapat ternyata bisa untuk membuat pod, langsung aja buat manifest untuk menjalankan pod yang mount ke root / directory dari host. Berikut manifest yang saya gunakan.

Selanjutnya tinggal deploy pod dan masuk kedalam shellnya. Lalu tinggal cat flag.

Referensi:

• https://faun.pub/attacking-kubernetes-clusters-using-the-kubelet-api-abafc36126ca
• https://github.com/kubernetes/kubernetes/issues/2797

Read More

HTB Business CTF 2022 - Trade

Assalamualaikum, teman-teman. Kali ini saya akan berbagi Write Up dari salah satu soal di HTB Business CTF 2022 yang berlangsung akhir pekan kemarin. Soal pertama yang akan saya bahas soal Trade yang masuk dalam kategori Cloud.

Deskripsi soal

With increasing breaches there has been equal increased demand for exploits and compromised hosts. Dark APT group has released an online store to sell such digital equipment. Being part of defense operations can you help disrupting their service ?

 Pertama kita scan dulu ip yang diberikan, untuk tau service apa saja yang berjalan pada server tersebut.

Terlihat ada 3 service yang berjalan, yaitu ssh, webserver dan subversion.

80 - Web server

Ketika mengakses dari port 80 muncul halaman login seperti ini. Sepertinya tidak ada yang spesial.

300 - Subversion

Lanjut akses ke subversion, disini kita bisa melakukan koneksi menggunakan svn client. Disini kita juga bisa melakukan enumerasi. Disini saya menemukan repository store/, langsung saja download repository tersebut.

Ketika dibuka file dynamo.py terdapat usernam dan password yang sepertinya bisa kita gunakan untuk login pada website yang sudah kita temukan sebelumnya.

Lalu pada file sns.py tidak ada yang menarik hanya kita tau bahwa ada service sns yang berjalan. Kita coba lihat log dari repository ini.

Terlihat ada beberapa modifikasi yang sudah dibuat, sekarang kita coba revert ke revisi yang sebelum. Ketika mencoba kembali ke revisi ke 2, pada file sns.py terdapat access dan secret key aws.

Kembali ke website, sekarang kita coba login menggunakan username dan password yang sudah kita dapatkan. Ternyata setelah berhasil login kita perlu memasukkan otp.

Kemungkinan otp tersebut bisa kita dapat dari sns. Langsung kita coba enumerate sns topic yang dimiliki dari account aws yang kita dapatkan sebelumnya.

Terdapat 1 topic bernama otp, langsung aja kita subscribe agar bisa mendapatkan pesannya. Karena mesin soal tidak mendapat akses ke internet maka kita tidak bisa menggunakan public email. Agar mudah disini saya memutuskan untuk menggunakan protocol http dengan endpoint ip pc saya. Di pc saya nanti saya akan open port 80 menggunakan netcat untuk menerima pesan.

Selanjutnya, tinggal open port 80 dan melakukan login pada website

Berikut tampilan websitenya. Selanjutnya saya mencoba melihat-lihat fitur apa saja yang ada di website tersebut. Ternyata ada sebuah halaman bernama search yang menerima inputan.

Setelah mencoba-coba berbagai macam inputan akhirnya muncul error ketika saya menginputkan "

Setelah mencari-cari di google dan teringat file yang kita temukan diawal sepertinya website tersebut menggunakan dynamodb. Langsung saja kita coba lakukan dynamo injection. Berikut payload injection yang saya gunakan.

Hasilnya, sekarang semua data yang ada di database muncul.

Disini saya stuck agak lama, lalu kepikiran menggukanan kredensial tersebut untuk ssh ke mesin soal. Ketika menggunakan user mario saya berhasil masuk ke mesin server. Langsung saja buka file flag.txt yang tersedia.

Referensi:

• https://book.hacktricks.xyz/network-services-pentesting/3690-pentesting-subversion-svn-server
• https://tutorgeeks.blogspot.com/2019/11/publicly-exposed-aws-sns-topics.html
• https://medium.com/appsecengineer/dynamodb-injection-1db99c2454ac

Read More