Skip to main content
HackTheBox machines – Academy WriteUp

HackTheBox machines – Academy WriteUp

Academy es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Linux

Academy es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Academy 10.10.10.215 a /etc/hosts como academy.htb y comenzamos con el escaneo de puertos nmap.

Encontramos el puerto 80 perteneciente a un portal web así que comenzaremos la enumeración revisando el mismo.

 

Enumeracion

Accedemos al puerto 80 y automáticamente nos hace una redirección de la ip a la url academy.htb mostrando el siguiente portal:

HackTheBox machines – Academy WriteUp

 

No vemos nada relevante en el mismo, salvo un par de enlaces a login y register respectivamente, asi que procederemos en primer lugar a registrarnos en el portal:

Registro en el portal de academy

 

Nos creamos una cuenta y posteriormente accedemos al mismo observando la siguiente pantalla de inicio una vez logueados:

Academy portal

 

Revisamos el código fuente pero no encontramos nada que nos pueda ayudar a partir de ahora así que nos toca enumerar los posibles directorios y ficheros existentes en el mismo.

Lanzaremos gobuster en primer lugar para buscar los posibles directorios:

Pero no encontramos nada relevante.

Lanzamos ahora wfuzz con la intención de descubrir ficheros con la extensión php o txt, y ahora si que vemos algo de luz:

En la que observamos la página de admin.php, aunque tampoco conseguimos nada ya que nuestro usuario no tiene dichos permisos. Tratamos también de hacer un sqli pero tampoco tenemos suerte así que volvemos al panel de registro para revisar el mismo y encontramos un campo oculto en el que no nos habíamos fijado antes.

Así que modificamos el valor del mismo a 1 y nos registramos en el portal y probaremos de nuevo a loguearnos en la página de admin.php y ahora sí que hemos podido pasar este formulario accediendo a la siguiente página:

Academy launch planner

 

En esta parte descubrimos 3 cosas que no conocíamos aún, dos posibles usuarios, cry0l1t3 y mrb3n y el subdominio de dev-staging-01 así que añadimos dicho subdominio al fichero /etc/hosts y accedemos al mismo.

En este subdominio descubrimos una página de Google Code Pretify:

Google code pretiffy

 

Y si nos desplazamos por el mismo encontramos que hay varios datos de una instalación de laravel, entre los que se encuentra la API_KEY del mismo, por lo que buscamos un poco en google y encontramos que es posible la realización de un RCE si conocemos la key de la api.

Así que lanzamos nuestro metasploit para este caso y buscamos un exploit al respecto:

Añadimos nuestros datos al mismo:

Y procedemos a su ejecución, consiguiendo una shell con el usuario www-data:

Comenzaremos ahora a enumerar el sistema y encontramos el fichero .env de la aplicación en la ruta /var/www/html/academy

Cuyo contenido es el siguiente:

Vemos que tenemos unas credenciales en el mismo, y que tal vez nos sean útiles con alguno de los usuarios descubiertos, así que probamos el acceso por ssh y bingo! estamos dentro con el usuario cry0l1t3:

 

Obteniendo la flag de user

Ya dentro de la cuenta del usuario, sólo nos queda ir a la home del mismo y obtener nuestra flag de user:

Aunque para hacer más cómodos los siguientes pasos, vamos a obtener una shell con python:

 

Escalado de privilegios

Revisamos los permisos y grupos de este usuario y vemos que está dentro del grupo adm:

El cual tiene permisos para ver algunos de los logs existentes en la ruta /var/log, así que revisamos los mismos y después de como media hora investigando en esta parte encontramos algo interesante en los logs de audit, en concreto en el fichero audit.log.3

En los cuales obtenemos diferentes datos en código hexadecimal, así que convertimos los mismos y observamos entre diferentes comandos ejecutados por los usuarios, lo que parece ser una password:

Probamos el escalado al usuario mrb3n y conseguimos acceder:

El siguiente paso será revisar si dispone de algún permiso de sudo y tenemos que puede ejecutar composer sin necesidad de indicar ninguna pass:

Así que nos vamos a gtfobins y encontramos una forma de escalar privilegios.

Lanzamos dichos comandos para la generación de una shell y bingo somos root:

 

Obteniendo la flag de root

Ya sólo nos queda ir a la home de root y obtener nuestra flag:

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.