Editor HackTheBox (Easy)

Escaneo de puertos

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>
nmap -sCV -p<PORTS> <IP>

Info:

Starting Nmap 7.95 ( https://nmap.org ) at 2025-09-18 06:02 EDT
Nmap scan report for 10.10.11.80
Host is up (0.041s latency).

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.13 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 3e:ea:45:4b:c5:d1:6d:6f:e2:d4:d1:3b:0a:3d:a9:4f (ECDSA)
|_  256 64:cc:75:de:4a:e6:a5:b4:73:eb:3f:1b:cf:b4:e3:94 (ED25519)
80/tcp   open  http    nginx 1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://editor.htb/
|_http-server-header: nginx/1.18.0 (Ubuntu)
8080/tcp open  http    Jetty 10.0.20
|_http-open-proxy: Proxy might be redirecting requests
| http-methods: 
|_  Potentially risky methods: PROPFIND LOCK UNLOCK
| http-cookie-flags: 
|   /: 
|     JSESSIONID: 
|_      httponly flag not set
| http-robots.txt: 50 disallowed entries (15 shown)
| /xwiki/bin/viewattachrev/ /xwiki/bin/viewrev/ 
| /xwiki/bin/pdf/ /xwiki/bin/edit/ /xwiki/bin/create/ 
| /xwiki/bin/inline/ /xwiki/bin/preview/ /xwiki/bin/save/ 
| /xwiki/bin/saveandcontinue/ /xwiki/bin/rollback/ /xwiki/bin/deleteversions/ 
| /xwiki/bin/cancel/ /xwiki/bin/delete/ /xwiki/bin/deletespace/ 
|_/xwiki/bin/undelete/
| http-webdav-scan: 
|   Server Type: Jetty(10.0.20)
|   WebDAV type: Unknown
|_  Allowed Methods: OPTIONS, GET, HEAD, PROPFIND, LOCK, UNLOCK
|_http-server-header: Jetty(10.0.20)
| http-title: XWiki - Main - Intro
|_Requested resource was http://10.10.11.80:8080/xwiki/bin/view/Main/
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 33.97 seconds

Veremos varias cosas interesantes entre ellas el puerto 8080 y el puerto 80, en el 80 veremos que nos redirige al dominio editor.htb, por lo que vamos añadirlo a nuestro archivo hosts de esta forma:

Lo guardamos y si cargamos la pagina con dicho dominio veremos lo siguiente:

Veremos una pagina normal sin nada aparente sospechoso, si le damos a Docs nos llevara a un subdominio que no tenemos añadido llamado wiki.editor.htb por lo que vamos añadirlo de esta forma:

Ahora vamos a entrar de esta forma:

Veremos un software el cual vemos de la misma forma que si entramos por la IP y el puerto de esta forma:

Por lo que vamos a investigar este software si tuviera alguna vulnerabilidad a nivel de versiones, si vamos al footer podremos identificar esta version XWiki Debian 15.10.8 si buscamos informacion sobre esta version, podremos ver que es vulnerable a este CVE llamado CVE-2025-24893, consiste en realizar un RCE.

URL = CVE PoC XWiki RCE

Antes de ejecutar nada vamos a ponernos a la escucha.

Ahora vamos a ejecutar el exploit tal cual como viene en el github a ver si funciona:

Info:

Si volvemos a donde tenemos la escucha:

Veremos que ha funcionado, por lo que vamos a sanitizar la shell.

Sanitización de shell (TTY)

Escalate user oliver

Si empezamos a explorar la carpeta de WEB-INF del usuario wiki veremos un archivo interesante.

Dentro de este directorio veremos esto:

De todos estos archivos el que encontre algo interesante es el llamado hibernate.cfg.xml, por lo que vamos a filtrar en el propio archivo por pass a ver si hay algo interesante.

Info:

Veremos varias contraseñas, pero entre ellas la que mas atrae es theEd1t0rTeam99, por lo que vamos a probarla con el primer usuario creado en la maquina con SUID 1000 llamado oliver a ver si fuera su contraseña por SSH.

Metemos como contraseña theEd1t0rTeam99...

Con esto veremos que ha funcionado, por lo que leeremos la flag del usuario.

user.txt

Escalate Privileges

Si listamos de que grupo somos, veremos lo siguiente:

Info:

Vemos que pertenecemos al grupo netdata, vamos a ver que archivos podemos modificar o leer con dicho grupo.

Vamos a buscar archivos del grupo que podamos ejecutar o que sean interesantes:

Info:

Veremos en todo esto algo interesante un archivo llamado netdata.api.key, si lo leemos veremos lo siguiente:

Vemos una API que puede servir para la pagina netdata, si listamos los puertos, veremos lo siguiente:

Info:

Vemos que esta el puerto 19999 en local que suele corresponderse a la pagina netdata por lo que vamos a realizar lo siguiente para hacer un portforwarding con SSH de esta forma:

Metemos como contraseña theEd1t0rTeam99, con esto estaremos dentro, por lo que si accedemos en local a dicho puerto veremos lo siguiente:

Vemos que nos aparece un cuadro de mandos de rendimiento, pero me llama la atencion ese Node.js que pone que es una version antigua y que es recomendable actualizar.

Pero si obtenemos informacion de la API de esta forma:

Info:

Veremos que aparece la version del netdata, si buscamos en internet dicha version las posibles vulnerabilidades que pueda tener, veremos esta pagina de aqui en la que se puede realizar una escala de privilegios.

URL = Vuln netdata v1.45.2

Si leemos veremos que hay un archivo el cual es el vulnerable llamado ndsudo del que hablan y si nos fijamos antes descubrimos ese binario en el find.

Vemos que tiene permisos SUID, por lo que tambien es bastante interesante, investigando un poco mas de que podemos hacer con dicho binario podremos ver el siguiente PoC en este repositorio.

URL = CVE-2024-32019 - PoC

Vemos que primero crea un exploit.c de esta forma en la maquina host:

Despues lo compila de esta forma con este nombre.

Echo esto abriremos un servidor de python3 para pasarnos el binario vulnerable.

En la maquina victima haremos esto para descargarnos dicho binario en la carpeta /tmp.

Cuando lo tengamos le daremos permisos de ejecuccion:

Ahora nos pondremos a la escucha como lo hayamos configurado en el exploit.c:

Y en la maquina victima tendremos que ejecutar el siguiente comando:

Ahora si volvemos a donde tenemos la escucha veremos lo siguiente:

Veremos que ha funcionado, por lo que leeremos la flag del usuario root.

root.txt

PreviousArtificial HackTheBox (Easy)NextOutbound HackTheBox (Easy)

Last updated