Skip to main content
HackTheBox machines – Late WriteUp

HackTheBox machines – Late WriteUp

Late es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Linux

Late es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Late 10.10.11.156 a /etc/hosts como late.htb y comenzamos con el escaneo de puertos nmap.

Observamos poca cosa en esta máquina, un puerto 22 para el que no tenemos credenciales y un portal web en el puerto 80 servido por nginx.

 

Enumeración

Comenzamos revisando el portal web en el puerto 80 y vemos la siguiente página

HackTheBox machines – Late WriteUp

 

Se trata de un simple portal web, revisamos un poco por encima y encontramos un subdominio revisando el código fuente de la aplicación

Descubriendo el dominio de images en la web de Late

 

Así que vamos a añadir el dominio images.late.htb a nuestro fichero /etc/hosts y accederemos al mismo, viendo una página de conversión de imagen a texto que luce como se ve en la siguiente captura de pantalla

Conversor de imagen a texto en Late

 

Para ver como funciona la aplicación vamos a crear una imagen con el siguiente texto

Y subimos la imagen. La aplicación nos devolverá un fichero de texto llamado results-1.txt con el texto detectado en nuestra imagen entre las etiquetas <p></p>

Probando la conversión de imagen a texto

 

Revisando la aplicación basada en Flask y navegando un poco encontramos una vulnerabilidad en SSTI, así que vamos a crear otra imagen para tratar de explotar la misma.

Hacemos una captura del siguiente texto

Y la subimos al portal, obteniendo el siguiente resultado

Verificando si es vulnerable a SSTI

 

Y efectivamente es vulnerable a esta vulnerabilidad así que vamos a ir más allá.

Vamos a tratar de descubrir el usuario sobre el cual está siendo ejecutada la aplicación con el siguiente payload

Y el resultado es el siguiente:

Comprobando el usuario mediante la explotación de SSTI

 

Ya tenemos el usuario, y se trata de svc_acc, así que ahora vamos a tratar de obtener acceso a la misma, después de alguna que otra prueba descubrimos que tiene la clave ssh almacenada en su home así que vamos a descargarnos la misma con el siguiente payload

Con la clave en nuestro poder nos queda probar el acceso y entrar a la máquina

 

Obteniendo la flag de user

Ahora que ya estamos dentro, simplemente obtenemos la flag del usuario svc_acc

 

Escalado de privilegios

Una vez dentro enumeramos la máquina para encontrar posibles formas de escalar privilegios, y observamos un proceso interesante con pspy

Enumerando el sistema para escalar privilegios

 

Si analizamos el comportamiento, cada vez que un usuario se loguea en el sistema, root, realiza la siguiente ejecución

Así que vamos a ver que hay en ese fichero

El script manda un mail a root alertando cuando un usuario se loguea así que vamos a ver si podemos editar el mismo, pero no tenemos permisos para ello, en cambio vemos que dispone del bit de append por lo que podemos añadir contenido personalizado al mismo.

Visto esto, añadimos una reverse shell al fichero

Abrimos una nueva sesión en la máquina y automáticamente obtenemos root en nuestra escucha

 

Obteniendo la flag de root

Ya estamos dentro como root, así que simplemente cogemos nuestra flag para terminar la máquina

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *