Skip to main content
HackTheBox machines – Meta WriteUp

HackTheBox machines – Meta WriteUp

Meta es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Linux

Meta es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Meta 10.129.141.109 a /etc/hosts como meta.htb y comenzamos con el escaneo de puertos nmap.

Observamos dos puertos, el 22 y el 80 y un dns nuevo, artcorp.htb que añadimos a nuestro fichero de hosts.

 

Enumeración

Revisamos en primer lugar el portal web existente en el puerto 80

 

No observamos gran cosa en la misma, aparte de un producto “MetaView” y un portal de desarrollo que no conocemos su dirección todavía así que vamos a enumerar.

Enumeramos posibles virtualhost con gobuster para tratar de encontra la url de desarrollo que mencionaba en la anterior página

 

Y descubrimos un subdominio, dev01, que añadimos al fichero de hosts y accedemos, observando la siguiente ventana

Vemos un único enlace en la misma que nos lleva a una página de subida de imágenes

Observando la misma, al subir un fichero, nos mostrará los metadatos del mismo, así que vamos a hacer una prueba de ello

 

Revisando la salida obtenida podría tratarse de la librería de exiftool para php, así que buscamos en google y encontramos la vulnerabilidad CVE-2021-22204 que consiste en un RCE y un exploit público para llevar a cabo el ataque.

Así que descargamos el código del exploit y editamos el mismo añadiendo nuestra ip y puerto, quedando el mismo como se ve a continuación

 

Y ejecutaremos el mismo para generar nuestra shell en el fichero image.jpg

Ahora que tenemos la imagen generada, abriremos nuestra escucha y subiremos la misma al portal para ganar acceso con el usuario www-data

 

Ahora con el fin de escalar privilegios, enumeramos el sistema y encontramos una tarea de cron muy interesante

 

Se trata de un script de conversión de imágenes, cuyo contenido es el siguiente

Se trata de una tarea cronificada que convierte los ficheros existentes en la ruta /var/www/dev01.artcorp.htb/convert_images/

Así que revisamos el binario de mogrify y observamos que es un enlace al binario de magick

Y cuya versión es la siguiente

Obtenida la versión, nos vamos a buscar en google y descubrimos que la misma dispone de varias vulnerabilidades, entre las cuales una que permite la copia de ficheros locales

Así que vamos a generar un fichero svg con el siguiente contenido

Copiaremos el mismo a la ruta vista anteriormente en el script de conversión

Y esperaremos a que se ejecute la tarea para conseguir la clave

 

Obteniendo la flag de user

Una vez la tenemos, utilizaremos la misma para acceder con el usuario thomas y conseguir la flag de user

 

Escalado de privilegios

Ahora que ya estamos dentro revisamos los permisos del usuario

Y vemos que tiene permisos para ejecutar el binario de neofetch como root

Revisamos posibilidades de explotar el mismo y encontramos una indicación en gtfobins

Revisando el script, el fichero de configuración y un poco en google encontramos que para poder explotar el fallo deberemos hacer varios pasos.

En primer lugar añadir la ruta del fichero de configuración en la variable XDG_CONFIG_HOME

Segundo, añadir permisos de suid al binario de bash a través del fichero de configuración

Y tercero ejecutar el comando como root

Ahora ya sólo nos queda escalar ejecutando bash como root

 

Obteniendo la flag de root

Una vez con permisos sólo nos queda ir a la home del usuario para obtener la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.