Skip to main content
HackTheBox machines - OpenAdmin

HackTheBox machines – OpenAdmin WriteUp

OpenAdmin es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox.

OpenAdmin es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad fácil.

La primera máquina de HackTheBox de 2020 parece ser un regalo de año nuevo de HTB para ganar algunos puntos y clasificar a todos sus usuarios. Esta máquina es muy simple y directa, comencemos.

 

Escaneo de puertos

Como de costumbre, agregaremos la IP de la máquina a mi etc / hosts como openadmin.htb para un acceso más fácil. El siguiente paso es ejecutar namp

 

Observamos que tenemos abiertos los puertos 22 y 80, comenzaremos viendo que hay en ese puerto 80 y una visita rápida al mismo nos muestra la página de bienvenida predeterminada del sitio web de Apache2.

HackTheBox machines - OpenAdmin

 

Utilizaremos entonces dirb para ver que uri podemos encontrar en este dominio:

No pongo el análisis completo pero encontraremos los siguientes directorios:

Deberemos centrarnos en el directorio de ona, el resto no es muy útil. Abrimos la página http://openadmin.htb/ona y vemos el panel de control de un sistema de gestión de direcciones IP (IPAM) de código abierto llamado OpenNetAdmin.

HackTheBox machines - OpenAdmin

 

Una advertencia en la página de inicio nos muestra que la versión de la aplicación es la 18.1.1, así que vamos a buscar en google si existe alguna vulnerabilidad para dicha versión y encontramos que la misma es vulnerable a RCE (Remote Code Execution). Descubrimos entonces que esta caja es víctima de un exploit descubierto recientemente.

Encontramos dos exploits en ExploitDB, uno para metasploit y un script en bash.

En nuestro caso utilizaremos el script en bash, cuyo código es el siguiente:

Descargamos y ejecutamos el mismo y automáticamente tendremos un shell como www-data:

HackTheBox machines - OpenAdmin

 

Dado que el usuario www-data no tiene muchos privilegios, no podremos realizar ninguna tarea importante. Vamos a intentar escalar su privilegio al siguiente usuario.

Primero necesitaremos saber que usuarios existen en la máquina, comprobamos si podemos ver el contenido del fichero /etc/passwd

Encontramos muchos usuarios en esta máquina, pero no sabemos con cuál de ellos deberíamos comenzar a obtener el privilegio, aunque hay algunos usuarios que podrían ser útiles como jimmy o joanna ya que no parecen usuarios utilizados por algún servicio.

Comenzamos a enumerar la máquina buscando pistas y después de un tiempo encontramos un fichero en PHP llamado “database_settings.inc.php” en el directorio /opt/ona/www/local/config, el cual contiene credenciales de base de datos MYSQL.

 

Escalada de privilegios

Ahora que hemos obtenido una contraseña y varios usuarios, vamos a probar si podemos acceder a la misma con la información obtenida hasta el momento y, lo conseguimos con el usuario jimmy.

HackTheBox machines - OpenAdmin

 

Después de revisar la home de dicho usuario, parece que la flag del mismo no se encuentra aqui, así que seguimos enumerando. Comprobamos los grupos a los que pertenece dicho usuario y encontramos una ruta en la cual se encuentran varios ficheros php, y descubrimos que el siguiente paso es escalar al usuario johanna.

HackTheBox machines - OpenAdmin

 

Observamos que tenemos acceso a la configuración de apache y encontramos que existe un sitio en la dirección 127.0.0.1 y puerto 52846

HackTheBox machines - OpenAdmin

 

Así que ejecutamos un curl contra esa dirección y el fichero main.php descubierto antes para conseguir la clave ssh del usuario joanna

 

Obtenemos el hash de la clave pem con ssh2john

Y usamos john para obtener la contraseña del mismo:

Y descubrimos que la contraseña de la clave es “bloodninjas”, así que probamos a acceder a la instancia con la clave pem y la password obenidas del usuario joanna.

HackTheBox machines - OpenAdmin

Estamos dentro de la máquina, y como vemos en la captura anterior también tenemos la flag del usuario.

 

Escalado a root

Para obtener acceso a root en esta máquina escalando privilegios desde el usuario Joanna, tenemos varias opciones y vamos a explicar 3 de ellas.

Comprobaremos como primer paso los permisos de root que tiene este usuario:

HackTheBox machines - OpenAdmin

Vemos que tenemos permisos de sudo en /opt/nano y /opt/priv así que vamos ahora con las opciones indicadas.

 

Opción 1: obtener el indicador raíz de nano

Como vimos en el anterior comando sudo -l, revelamos que podíamos usar sudo sin contraseña con nano y /opt/priv, veremos como con 3 simples comandos obtendremos la flag.

Editamos entonces dicho fichero con sudo:

Pulsaremos CTRL+R para leer un archivo e introduciremos /root/root.txt

HackTheBox machines - OpenAdmin

Pulsamos enter y nos mostrará por pantalla la flag de root, reto superado!

 

Opción 2: obtener una shell de root desde nano

Si visitamos la web de gtobins podemos ver las posibilidades de escalado de este editor de textos.

Como vemos en la misma, podemos escalar privilegios simplemente con estos comandos:

Así que, volvemos a editar el fichero con nano:

Ahora pulsaremos CTRL+R, después CTRL+X y después escribiremos el texto que indica:

HackTheBox machines - OpenAdmin

Pulsamos enter y listo, tenemos una shell de root con la que poder obtener la flag deseada.

HackTheBox machines - OpenAdmin

 

Opción 3: agregarse como usuario root

Volvemos a editar el fichero con nano y pulsamos CTRL+R para leer el archivo /etc/passwd

Añadimos entonces nuestro usuario a dicho fichero:

HackTheBox machines - OpenAdmin

 

Guardamos el mismo y nos logueamos con el usuario que acabamos de añadir y listo, somos root y tenemos la flag

HackTheBox machines - OpenAdmin

 

Espero que os haya gustado y nos vemos en la siguiente máquina.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *