Perfection HackTheBox

Escaneo de puertos

nmap -p- --min-rate 5000 -sV <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-10 09:05 EDT
Nmap scan report for 10.10.11.253
Host is up (0.037s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 80:e4:79:e8:59:28:df:95:2d:ad:57:4a:46:04:ea:70 (ECDSA)
|_  256 e9:ea:0c:1d:86:13:ed:95:a9:d0:0b:c8:22:e4:cf:e9 (ED25519)
80/tcp open  http    nginx
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 5.0 (96%), Linux 4.15 - 5.8 (96%), Linux 5.3 - 5.4 (95%), Linux 2.6.32 (95%), Linux 5.0 - 5.5 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (95%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 443/tcp)
HOP RTT      ADDRESS
1   43.37 ms 10.10.14.1
2   43.43 ms 10.10.11.253

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.23 seconds

Puerto 80

Vamos a /weighted-grade/...

Una vez sabemos que Ruby es vulnerable a codigos de inyeccion, abrimos BurpSuit capturamos la peticion ingresando en la tabla donde hay que colocar numero que llegue hasta 100 para que funcione y en la de texto lo que sea...

Una vez que capturemos con el BurpSuit esa peticion, modificaremos la seccion de Category para ahi inyectar codigo de Ruby

El codigo a pelo no te va a dejar <%= 7 * 7 %> por lo que lo codificamos en URL pero haciendonos una Reverse Shell de la siguiente manera...

Pero si lo metemos ahi directamente no ira, por lo que al principio y al final le añadimos algo de texto...

Y esto si funcionaria...

Info:

Una vez echo esto, tendriamos una shell con el usuario susan la sanitizamos...

Ahora leemos la flag en la home de este usuario...

user.txt (flag1)

Si nos vamos a Migration y leemos el .db llamado pupilpath_credentials.db...

Nos aparece lo que parece ser la contraseña de susan

Si ponemos el siguiente comando...

Nos mostrara lo siguiente...

Y si leemos eso nos muestra...

Por lo que para Deshashear ese hash que encontramos con estas pistas haremos lo siguiente...

Info:

Si hacemos sudo -l veremos que tenemos todos los permisos como root por lo que hacemos lo siguiente...

Y ya seriamos root por lo que vamos a /root/ y leemos la flag...

root.txt (flag2)

PreviousUsage HackTheBoxNextHeadless HackTheBox

Last updated