Skip to main content
HackTheBox machines – Pandora WriteUp

HackTheBox machines – Pandora WriteUp

Pandora es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Linux

Pandora es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Pandora 10.129.131.128 a /etc/hosts como pandora.htb y comenzamos con el escaneo de puertos nmap.

Vemos un puerto 80 perteneciente a un portal web, pero lanzamos también el escaneo por udp el cual nos saca lo siguiente

Realizada la enumeración principal vamos con ello.

 

Enumeración

Empezaremos como de costumbre revisando el portal web cuyo aspecto es el siguiente

Pandora portal web

Revisamos la página en detalle pero parece que en la misma no hay nada de nada, así que vamos a chequear el puerto de snmp que vimos en el escaneo de puertos udp. Utilizaremos para ello la tool snmpwalk y la comunity public a ver si nos da algo de información:

Y entre todos los datos obtenidos vemos una línea muy interesante

Parecen las credenciales de un usuario así que probamos el acceso y conseguimos entrar por ssh a la máquina, parece demasiado fácil, pero aqui no acaba ya que este usuario no puede obtener la flag

 

Como no podemos obtener la flag vamos a enumerar la máquina y encontramos que el puerto 80 está abierto a local asi que vamos a testear que hay con un curl y vemos lo siguiente

 

Hay una url a la cual no teníamos acceso antes, y esto se debe a que sólo tiene permitido el acceso en local, así que necesitaremos hacer un tunel para poder acceder a la misma.

Como disponemos de claves ssh, crearemos un tunel a local para poder acceder a la web

Así que abrimos nuestro tunel y vamos al navegador a http://localhost para ver el siguiente portal web

Monitorización con Pandora FMS

 

Se trata del software Pandora FMS un software de monitorización. Comprobamos si nuestras credenciales son válidas pero sin éxito, así que buscamos en el portal y en el código fuente y encontramos la versión utilizada por la herramienta

Investigamos acerca de la vulnerabilidad y descubrimos que dicha versión tiene 4 vulnerabilidades importantes

  • SQL Injection (pre authentication) (CVE-2021-32099)
  • Phar deserialization (pre authentication) (CVE-2021-32098)
  • Remote File Inclusion (lowest privileged user) (CVE-2021-32100)
  • Cross-Site Request Forgery (CSRF)

Hacemos algunas pruebas y observamos que con sqlmap podemos obtener algunos datos, como el id de sesión del usuario matt, aunque esto no es del todo útil, así que seguimos buscando en google y encontramos un post que explica bastante bien la vulnerabilidad en el siguiente enlace y el código vulnerable por lo que podemos hacernos una idea de que se debe de realizar a continuación.

Así que generamos nuestro payload y lo lanzaremos sobre el portal para obtener acceso como admin (debido a que es una versión que todavía se encuentra disponible en muchas instalaciones y la gravedad de la misma no voy a publica el exploit como tal en la web, de todas formas si alguien tiene dudas al respecto puede preguntar y le ayudaré a conseguirlo)

Acceso como admin en pandora fms

 

Una vez dentro ahora debemos de subir un fichero a través del cual consigamos acceso. Así que como somos admin vamos a la sección de file manager y subiremos nuestra reverse shell en php

PHP Reverse shell

 

Una vez subida, ejecutamos el fichero que podremos encontrar en la ruta

Y obtendremos una shell con el usuario matt

 

Obteniendo la flag de user

Ahora que ya estamos dentro con el usuario matt sólo queda ir a la home y obtener la flag

 

Escalado de privilegios

Lo primero que hacemos siempre es verificar que permisos dispone el usuario pero parece que hay un error con la terminal que tenemos

Así que en primer lugar, generamos una clave ssh y accedemos a través de ssh a la máquina con el usuario para corregir los problemas con nuestra terminal

Una vez hecho, enumeramos el sistema y encontramos un ficheros con permisos de suid bastante interesante

Revisamos el mismo y se trata de un fichero ejecutable que se encarga de realizar un backup del portal de pandora

 

Para ello vamos a verlo en detalle ejecutando el mismo y vemos el siguiente resultado

Exactamente hace un backup de un directorio situado en la home de root, y además observamos que lanza el binario tar sin especificar el path del mismo por lo que puede ser el punto necesario para el escalado.

 

Crearemos entonces un directorio para albergar nuestro fichero tar y el el mismo fichero

Y añadiremos la ruta de nuestro directorio a la variable PATH

Cargada la ruta sólo nos queda ejecutar de nuevo el binario para obtener acceso como root

 

Obteniendo la flag de root

Y ahora que ya somos root, vamos a su home a por nuestra flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *