Skip to main content
HackTheBox machines – Curling WriteUp

HackTheBox machines – Curling WriteUp

Curling es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Linux

Curling es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Curling 10.10.10.150 a /etc/hosts como curling.htb y comenzamos con el escaneo de puertos nmap.

 

Obtenemos sólo un portal web en el puerto 80 para comenzar el escaneo así que vamos a partir en ese punto.

 

Enumeracion

Accedemos en primer lugar al puerto 80 y encontramos el siguiente portal web:

Acceso web a curling

 

A simple vista no vemos mucha información útil, así que revisamos el código fuente y encontramos un comentario casi al final de la página:

Parece indicar que existe un fichero así que tratamos de obtener el mismo en el navegador cuyo contenido es el siguiente:

Parece un código en base64, así que decodificamos el mismo y obtenemos lo que parece ser una password:

Tenemos una password, pero necesitaremos también un usuario si queremos poder hacer algo con ello, así que volvemos al portal y encontramos un nombre de usuario en el siguiente texto:

Indica que es el primer post del sitio web y que el autor del mismo es el usuario Floris, así que vamos a loguearnos con este usuario y la clave que obtuvimos anteriormente:

Logging as super user

 

Y bingo!, estamos dentro, además observamos en el bloque de login que somos “Super User” por lo que tenemos permisos elevados en el portal.

Llegados a este punto parece que no podemos ver mucho más así que vamos a lanzar gobuster con la idea de encontrar algún directorio desconocido hasta el momento

Y observamos, entre otras, una dirección muy interesante bajo la uri /administrator, así que vamos a ella y observamos el panel de login del cms joomla:

Panel de login de joomla

 

Ahora nos queda probar las mismas claves que utilizamos en la página principal del portal y acceder al panel de administrador del sitio:

Panel de administrador en joomla

Hemos conseguido acceder, así que el siguiente paso, será tratar de subir una reverse shell al mismo con la idea de ganar acceso a la máquina.

Nos iremos a la sección de Extensions -> templates

Edición de templates

 

Y editaremos una de ellas, en nuestro caso lo hemos realizado sobre el template beef

Subiendo una reverse shell a la template

 

Y ahora subiremos nuestra shell, que en nuestro caso, hemos utilizado la reverse shell de pentestmonkeys.

Una vez subida, accedemos a la misma a través del navegador, en nuestro caso en la url siguiente

Y obtendremos acceso como www-data en nuestra escucha en netcat

Revisamos la máquina y encontramos un fichero interesante en la home del usuario floris:

Nos descargaremos el fichero en nuestra máquina y trataremos de hacerle el reverse al código hex que encontramos en el fichero

Obteniendo un fichero comprimido con bzip2

Descomprimimos el mismo y obtendremos un fichero gzip

Renombraremos el mismo a .gz, y lo descomprimimos, obteniendo otro fichero bzip2

Descomprimimos de nuevo el mismo, obteniendo en este caso un fichero tar

Renombramos el mismo y lo descomprimimos obteniendo un fichero txt con una password

Ahora nos queda probar el acceso por ssh con el usuario floris y la clave obtenida

 

Obteniendo la flag de user

Una vez obtenido el acceso con el usuario floris, nos queda ir a la home del mismo a conseguir nuestra flag de user

 

Escalado de privilegios

Ahora para el escalado, revisamos en primer lugar si el usuario dispone de algún permiso como root, pero sin éxito

Así que enumeramos el sistema, posibles procesos y encontramos un directorio interesante en la home de este usuario

En el cual vemos dos ficheros, en primer lugar el fichero input incluye una variable url

Y el fichero report guarda el resultado de la petición a la url indicada en el fichero anterior.

Realizamos varias pruebas y comprobamos los permisos y descubrimos que el proceso encargado está siendo ejecutado por el usuario root, por lo que puede ser nuestra forma de escalar privilegios.

Realizamos unas búsquedas más y encontramos que el sistema es vulnerable a CVE-2019-7304 conocida como dirty-sock, así que nos descargamos el exploit en github y lo subimos a la máquina.

A continuación ejecutaremos nuestro exploit obteniendo el siguiente resultado

 

La ejecución ha sido un éxito así que escalaremos a este usuario

Y posteriormente a root

 

Obteniendo la flag de root

Ahora que ya somos root, sólo nos queda ir a la home del usuario y conseguir nuestra flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *