Editorial HackTheBox

Escaneo de puertos

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>
nmap -sCV -p<PORTS> <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-17 06:14 EDT
Nmap scan report for 10.10.11.20
Host is up (0.033s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 0d:ed:b2:9c:e2:53:fb:d4:c8:c1:19:6e:75:80:d8:64 (ECDSA)
|_  256 0f:b9:a7:51:0e:00:d5:7b:5b:7c:5f:bf:2b:ed:53:a0 (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://editorial.htb
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.33 seconds

Añadimos al /etc/hosts el dominio llamado editorial.htb para poder visualizar la pagina, una vez hecho eso, si nos vamos a la siguiente URL...

Veremos que podemos subir un archivo y previsualizarlo en la foto de perfil del formulario a parte de que tambien se puede cargar una imagen desde una URL, el que mas nos va a interesar va a ser el de poner una URL ya que tiene pinta de que es vulnerable a SSRF y en este caso es un Blind SSRF por que si ponemos nuestra IP teniendo un servidor de python a la escucha en el mismo puerto 80 para que llegue una peticion veremos que funciona, pero poco podemos hacer, por lo que tendremos que ver algun puerto que haya abierto en la propia maquina utilizando localhost por lo que utilizaremos fuerza bruta con el Intruder del BurpSuit, capturaremos la peticion de la URL...

Donde pone <PORT> tendremos que poner los dos simbolos del Intruder para que pruebe ahi todos los puertos posibles que son 65535 puertos, haciendo la siguiente comparativa...

Ya que cuando ponemos cualquier puerto nos sale esta respuesta...

Nos aparece siempre la misma imagen, por lo que si aparece eso no sera el puerto correcto, tendremos que filtrar en el Intruder poniendo que no nos muestre el contenido que lleve /static/images/unsplash_photo_1630734277837_ebe62757b6e0.jpeg por lo que nos mostrara solo los que sean diferentes siendo asi el puerto correcto...

Configuracion del Burp Suit

Y le daremos a Start Attack, una vez que el ataque haya terminado, haremos lo siguiente...

Filtraremos para que no nos muestre lo siguiente /static/images/unsplash_photo_1630734277837_ebe62757b6e0.jpeg y nos aparecera solo un puerto el 5000...

Si ahora donde es injectable el SSRF haremos lo siguiente...

En ese parametro ponemos lo siguiente descubierto...

Y cargara algo en la imagen, si vamos a ese link, te descargara lo siguiente...

Si nos vamos a /api/latest/metadata/messages/authors de las URL's que nos aparecen ahi de la siguiente manera...

Nos volvera a cargar una especie de imagen, pero si vamos a ese link nos descargara otra cosa, lo que parece ser las credenciales para el ssh de un usuario...

Si nos conectamos al ssh con esas credenciales veremos que si son esas, por lo que ya estariamos dentro de la maquina...

Leemos la flag...

user.txt (flag1)

Si nos vamos a la siguiente ruta...

Y hacemos lo siguiente...

Info:

Si investigamos el siguiente codigo de esta forma...

Info:

Vemos que estan las credenciales de prod...

Y ya seriamos ese usuario, si hacemos sudo -l veremos lo siguiente...

Por lo que podremos ejecutar ese comando como root pero vemos que tiene un * por lo que podremos utilizar ruta y ejecutar lo que queramos, pero como git, si hacemos lo siguiente...

Info:

Vemos que es una version vulnerable de git por lo que haremos lo siguiente...

Crearemos ese archivo en /tmp y ahora lo ejecutaremos para que se nos ponga con SUID la bash...

Saltaran algunos errores, pero si hacemos lo siguiente...

Info:

Veremos que funciono, por lo que haremos...

Y ya seremos root, ahora leeremos la flag...

root.txt (flag2)

PreviousHeadless HackTheBoxNextBuilder HackTheBox

Last updated