Skip to main content
HackTheBox machines – Ambassador WriteUp

HackTheBox machines – Ambassador WriteUp

Ambassador es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Linux

Ambassador es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Ambassador 10.10.11.183 a /etc/hosts como ambassador.htb y comenzamos con el escaneo de puertos nmap.

Realizada una primera enumeración de puertos vamos a proceder a evaluar cada uno de ellos.

 

Enumeración

Procedemos a revisar el portal web en el puerto 80 y nos encontramos con la siguiente aplicación web

 

No vemos gran cosa por aqui a excepción de una página en la que indica que se debe acceder por ssh con el usuario developer y que DevOps nos dará esa información.

 

No vemos mucho más en esta web así que continuamos con el puerto 3000, en el cual nos encontramos un panel de login de grafana

 

Obtenemos la versión del mismo buscamos en google y encontramos una vulnerabilidad CVE-2021-43798 y un exploit para ella en

Descargamos el mismo y lo ejecutamos para explotar la vulnerabilidad de LFI y obtener el fichero /etc/passwd

Así que conociendo la vulnerabilidad vamos a descargarnos el fichero de configuración de grafana

Revisamos el mismo y obtenemos las credenciales de autenticación del usuario admin

Llegados a este punto no podemos sacar mucho más, así que vamos a descargarnos el fichero de base de datos de grafana, en este caso el exploit no nos vale así que lo haremos con curl

Revisamos el mismo y encontramos el usuario, la password y el esquema de base de datos

Que serían

Así que vamos a conectarnos por mysql al puerto 3306 que vimos anteriormente en el escaneo con nmap

 

Y obtenemos las claves del usuario developer, las cuales están en base64 así que decodificamos

Y ya tenemos las claves del usuario developer para acceder por ssh.

 

Obteniendo la flag de user

Con las claves del usuario nos queda acceder por ssh y obtener la primera flag

 

Escalado de privilegios

Para el escalado procedemos a enumerar la máquina en detalle y encontramos dos directorios interesantes en la ruta /opt

Observamos un directorio de una aplicación llamada consul y el directorio my-app que contiene un directorio .git por lo que vamos a ver histórico de cambios del mismo

 

Revisamos en detalle cada uno de ellos y encontramos un token que posiblemente podremos utilizar más adelante

 

Procedemos a revisar el directorio consul y vemos que se trata de la app de hashicorp con dicho nombre así que vamos a googlear un poco y encontramos una vulnerabilidad de rce y un exploit en ruby para llevarla a cabo

Para no liarnos demasiado, y debido a que el script está preparado para lanzarse con metasploit, revisamos el comportamiento del mismo y observamos que se trata de una petición PUT con una serie de parámetros así que lanzaremos la petición con curl.

 

En primer lugar vamos a generar un script que nos permita dar permisos de suid al binario de bash

Y posteriormente ejecutaremos el curl

 

Esperamos unos segundos y si todo ha ido bien veremos que se han asignado los permisos esperados al binario de bash

 

Obteniendo la flag de root

Ahora sólo nos queda escalar a root y obtener la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *