Usage HackTheBox
Escaneo de puertos
nmap -p- --min-rate 5000 -sV <IP>Puerto 80
sudo nano /etc/hosts<IP> <DOMAIN>SQLInjection
En el formulario de "Reset password" si aumentamos lo siguiente... Veremos una pagina de error lo cual significa que hace caso a las injecciones
' ORDER BY 8;-- -
' ORDER BY 9;-- -Pasamos a la herramienta:
sqlmap
NOTA IMPORTANTE:
Actualizar sqlmap
sudo apt install sqlmapOPTIONAL = -p email
sqlmap -r <REQUEST_FILE> -p email --level 5 --risk 3 --dbms=mysql --dbsInfo command:
Pasos de sqlmap:
Para capturar la peticion que nos devuelve el error para crear nuestro archivo request.txt, usaremos BurpSuit con la opcion Proxy, enviamos la peticion estando a la escucha del proxy y lo que nos devuelva lo metemos en un .txt para que sqlmap lo lea en el comando...
Una vez que encontramos la tabla llamada "usage_blog" ponemos lo siguiente...
Info:
Una vez que veamos una db sospechosa como la llamada "admin_users" ponemos lo siguiente....
Info:
Una vez que sacas el hash de "admin" hay que crackearlo con "john"
john
Info:
Si nos dirigimos al dominio "admin.usage.htb" y editando el "hosts" de nuevo....
![[Pasted image 20240506210013.png]]
Hay una vulnerabilidad en la foto de perfil de Administrador, subimos un .png para que se lo coma la pagina, pero estando a la escucha con BurpSuit interceptamos esa peticion cuando le demos a "Submit" para que dentro del mismo editemos lo siguiente...
Formatos para injectar: https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Upload%20Insecure%20Files#upload-insecure-files
Hay que reemplazar ".png" por ".php" para que se pueda ejecutar ese codigo, despues cambiar el "image/png" por "image/gif" y por ultimo añadir por encima del codigo "GIF8;"
Le damos a "Forward" para termiar con la peticion y que se lo trage todo...
Una vez hecho todo esto anterior tendremos que dirigirnos donde este la imagen subida y hacer lo siguiente...
Reverse Shell
Info:
File.php => https://www.revshells.com/ (PHP proc_open)
Dirigiendote a "settings" y editando la foto de perfil por una que contenga codigo para una Reverse Shell, lo subes como .png y como ya dije anteriormente se cambia con el BurpSuit, una vez que se haya subido estando a la escucha...
Recargamos la pagina donde subimos la foto y se ejecutara el codigo...
Entramos como el usuario "dash" encontramos la primera flag en su "/home"
user.txt (1) => flag1
Para no tener una shell muy pocha, encontramos en la misma "home" el id_rsa privado de nuestro propio usuario para poder entrar por ssh mediante la id privada...
Clave Privada:
File id_rsa:
Encontramos un archivo de configuracion ".monitrc", dentro del mismo aparecen las credenciales de "admin" y la password, pero esa password si la probamos en el usuario "xander" nos dejara cambiar de "user"
Tambien cambiando la IP "127.0.0.1" a "0.0.0.0" puedes conectarte al panel de configuracion de monit con esas credenciales en ese puerto, intentando varias inyecciones para escalar privilegios y no consegui nada, para reiniciar y que se cambia la configuracion...
si en "xander" haces...
Info:
Si hacemos un "strings" al binario:
Veremos lo siguiente...
Nos llama la atencion el siguiente comando que se ejecuta:
Junto a esta ruta:
Que es lo que comprime cuando utilizamos ese binario selsccionando el numero "1", haremos lo siguiente...
Creando un enlace simbolico que compiara todo el contenido de la carpeta "/root/" al archivo que elijamos
Una vez creado todo esto, comprimimos con el binario "usage_management" de la opcion "1" y se nos creara un proyect.zip en la ubicacion "/var/backups/"
Yo en mi caso abri un servidor de python3 para pasarme el .zip a mi host y de ahi descomprimirlo...
HOST:
Dentro de esa carpeta encontraremos un ".ssh" por lo que leeremos el id_rsa para poder conectarnos como root mediante ssh...
id_rsa (root)
Una vez dentro leeremos la flag de root...
Last updated