BountyHunter - HackTheBox Easy

Tenemos ante nosotros la maquina BountyHunter de la plataforma HackTheBox, sabemos que tiene sistema operativo linux y que es catalogada como Easy por los usuarios. 

Lo primero que pruebo es hace ping para comprobar que ya tengo conexión con la maquina victima. 


Luego ocupo Nmap para hacer un primer escaneo de puertos. 

sudo nmap -p- -sS --open -v -n -Pn 10.10.11.100


Descubrimos que tiene abiertos el puerto 22 y el puerto 80. 22 de ssh y

puerto 80 para acceder a una pagina web...


Arriba a la derecha vemos un enlace a portal.php, asumimos que puede haber mas archivos php servidos.

Usamos fuzzing con un diccionario de palabras comunes usadas en archivos y directorios.


se ven algunas cosas interesantes, pero también a través del enlace Portal, vemos un formulario que puede servir, aparentemente no permite inyección de código sql, pero hace un envío y procesamiento de lo que se ingresa allí. 

Abrimos el Burpsuite para investigar mas sobre eso que se ve en el campo data. 


Al decodificarse se ve que es XML, por lo que investigando encuentro que se puede hacer XML injection, poniendo en el xml una línea que nos acceda a un archivo que sepamos está servido en la maquina victima. 

Vamos a intentar acceder al archivo db.php que no muestra nada pero que por el nombre es el que mas llama la atención.


Mirando por internet que tipos de inyecciones de xml puedo aplicar y encuentro en esta web https://github.com/payloadbox/xxe-injection-payload-list varias opciones. Aplicamos una modificando data y enviando...


Lo que me devuelve la petición hecha es el archivo db.php, pero se observa en base64, lo decodifiqué con el mismo Burpsuite



Tenemos ahora una password del usuario admin de la base de datos bounty, pero no tenemos acceso al gestor de bases de datos. :(

Probemos si es la misma password del usuario root! (cruzando los dedos xD)

No es :(

Probamos si es la de algún usuario admin o test que hubiera en la maquina y tampoco.




Recuerdo que puedo traerme mas archivos de la misma manera que traje db.php, entonces que tal mirar qué usuarios tiene la maquina para probar la password que tenemos?


Vemos que además de root (que ya probamos la password y no era), tenemos el usuario development, que tambien tiene bash y por lo tanto puedo conectarme por ssh (quiero suponer)

Efectivamente la password conseguida es la del user development.

Puedo ver la Flag de usuario.

También veo que hay un documento junto con la flag, este archivo hable de una "internal tool" a la que tengo acceso y que hace referencia a unos tickets, ya veremos si esa info es útil.

Parece que no soy sudoer, busco como mirar que puedo hacer con este user. Cómo era el comanto?

con sudo -l me doy cuenta que puedo acceder como root a un script hecho en python que se llama ticketValidator.py, esta debe ser la "internal tool" de la que hablaba el archivo de antes. 

vamos a ejecutar para ver que hace.

Miremos el código

Según se entiende, nos pide la ruta de un archivo .md y filtra que el archivo cumpla con una características, así que buscaremos crear un archivo que cumpla con ellas para después concatenar un bash con privilegios de root.

Ejecutamos el script...


Y listo ya tenemos la flag de root.

Aprendí mucho con esta maquina y por eso la quise compartir.


Saludos,

Comentarios

Publicar un comentario

Entradas más populares de este blog

Conociendo la shell de MongoDB 3.2

Para hacer uso de la shell de MongoDB, deberás contar con una instalación de mongo, sea remota o local, y asegurarte que el servicio de mongo este activo. Para activarlo desde consola linux en la maquina donde está instalado, ejecutas: $ mongod Para ejecutar la shell de mongo deberás tener activo un servidor de mongoDB (local o remoto), en cuyo caso bastará con ejecutar el comando: $ mongo O en caso de necesitar autenticarte: $ mongo -u [user] -p [password] En otro post, veremos el por qué autenticarte y cómo hacerlo. Existe el comando dbs , para listar las bases de datos que tengas en el servidor: > show dbs Por defecto si no le indicas a mongo que base de datos usar, usará una llamada test, para saber cual base de datos estas usando existe el comando: > db para usar una base de datos específica o crearla usamos el comando > use mibasededatos las bases de datos en mongo están compuestas de colecciones o collections en Inglés, para obtener una lista de las
Leer más

Mas allá de twitter

Imagen
Muchos de los que somo usuarios de twitter a veces sentimos que hay opciones que necesitamos para administrar nuestras cuentas de una forma mas eficaz, que twitter de forma directa no nos ofrece; pero lo que si nos ofrece es la posibilidad de obtener esas opciones a través del API de twitter , pero como no todos los usuarios tenemos el tiempo y el conocimiento necesarios para construir esas pequeñas aplicaciones que necesitamos, a continuación les dejo una lista con algunas paginas que ofrecen servicios adicionales relacionados con Twitter: Recuerda que esta lista está en crecimiento... Para los desmemoriados: Myfirsttweet : Te muestra cual fue tu primer tweet. Mytweet16 : Te recuerda cuales fueron tus primeros 16 tweets. FirstFollow : Sabes quien fue tu primer seguidor? no? pues esta pagina te ayuda a descubrirlo. Compartir Fotos y/o archivos: Twitpic : Comparte tus fotos en twitter con la posibilidad de etiquetar usuarios y de comentarios. Tweetphoto : De igual forma que la ant
Leer más

Películas vistas en 2017

El cine es un refugio para mi, siempre ha sido ese espacio en el que logro olvidar quien soy para entregar todos mis sentidos a maravillosas historias de las que siempre espero sacar buenas sensaciones y aprender una que otra cosilla. Este 2017 he tenido la fortuna de poder darme el gusto de ver algunas películas, otras me las he tenido que saltar, algunas las he podido ver posteriormente en TV, pero como no es la misma experiencia que verlas en la pantalla grande, no las mencionaré en este post.  Cabe anotar que los comentarios que acá leerás son meramente mi experiencia y mi sentir, tu puedes tener, obviamente, una opinión bastante distinta pero igual de respetable. En la lista (que me tomé el trabajo de hacer), de las películas de 2017 que he podido ver en cine, tengo varias consentidas, que estuve esperando por meses, y otras que solo fui a ver porque pintaban entretenidas.  Entre las mejores: Logan Decidí comenzar con Logan, porque salió a principios de año, y porq
Leer más