HackTheBox machines – Inject WriteUp

Inject es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Inject 10.10.11.204 a /etc/hosts como inject.htb y comenzamos con el escaneo de puertos nmap.

Una vez hecho el escaneo ligero, lanzamos uno más completo sobre los puertos detectados

 

Enumeración

Accedemos al portal web en el puerto 8080

 

No encontramos gran cosa en la página web así que siguiendo con la enumeración, obtenemos el directorio /upload con la enumeración de directorios

 

Y al acceder vemos al siguiente ventana

Hacemos varias pruebas en esta parte y obtenemos un lfi interceptando la petición con burp y enviando un payload concreto

 

Seguimos con la revisión y vemos que además podemos listar el contenido de los directorios lo que nos hará mucho más fácil los siguientes pasos

 

Así que seguimos revisando y encontramos el fichero pom.xml de la aplicación, el cual suele contener información importante

 

Y en el mismo descubrimos el software utilizado, Spring, y la versión 2.6.5, así que vamos a google y encontramos una vulnerabilidad de RCE, CVE-2022-22963, y un exploit para llevar a cabo el ataque.

Así que descargamos y ejecutamos el mismo y obtenemos acceso con el usuario frank

 

Escalado al usuario phil

Revisamos la máquina, pero este usuario frank no puede leer la flag, aunque encontramos no obstante, una carpeta interesante en la home del usuario

Revisamos la misma y encontramos unas credenciales en el fichero settings.xml

Con las que escalar a phil

 

Obteniendo la flag de user

Y vamos a coger la primera flag

 

Escalado de privilegios

Revisamos  permisos del usuario pero nada, así que seguimos buscando y nos fijamos en el grupo al que pertenece, staff, así que busquemos ficheros o directorios donde pueda escribir

Y encontramos un directorio

Subimos pspy y revisamos entonces que procesos utilizan este directorio

 

Y encontramos un proceso que ejecuta los fichero yaml existentes en esa ruta, así que será nuestro punto para escalar privilegios.

Viendo que se ejecuta el proceso de ansible-parallel buscamos en google y generamos nuestro playbook con el siguiente contenido que dará permisos de suid al binario de bash

Y lo subimos al directorio

Ahora nos queda esperar a la siguiente ejecución y verificar los permisos del binario de bash

 

Obteniendo la flag de root

Con los permisos de suid en el binario de bash nos queda escalar a root y coger nuestra flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace