Skip to main content
HackTheBox machines - Postman

HackTheBox machines – Postman WriteUp

Postman es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox.

Postman es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad fácil.

Escaneo de puertos

Como de costumbre, agregaremos la IP de la máquina a mi etc / hosts como postman.htb para un acceso más fácil. El siguiente paso es ejecutar namp

 

Encontramos varias cosas que parecen interesantes en este escaneo. Acceso de ssh por el puerto 22, acceso web por el puerto 80, acceso web también por el puerto 10000, nos indica que se trata de webmin con versión 1.910 y, lo más interesante, encontramos abierto redis en el puerto 6379 y con la versión del almacén de claves 4.0.9.

Comprobamos los diferentes portales pero no descubrimos nada interesante. En el puerto 80:

HackTheBox machines - Postman WriteUp

 

Y en el 10000

HackTheBox machines - Postman WriteUp

 

Procedemos a buscar en el servicio de redis y encontramos que la versión actual es vulnerable y que puede ser fácilmente explotada, tal y como indica en el siguiente enlace https://packetstormsecurity.com/files/134200/Redis-Remote-Command-Execution.html

Comprobamos que realmente podamos acceder por telnet y que redis nos responde a dicha conexión

Puerto 6379

 

Explotación

Así que vamos a crear nuestra clave ssh que posteriormente subiremos a través de redis, la crearemos con el siguiente comando:

A continuación editaremos nuestra clave pública y le añadiremos dos \n al principio y al final de la misma y ejecutaremos los siguientes comandos

Como vemos en la siguiente captura de pantalla

Check redis

 

Ahora probamos la conexión por ssh con el usuario redis y bingo, estamos dentro

Consiguiendo una shell

 

Intentaremos encontrar la flag de user, aunque como era de esperar no tenemos permisos para leer la misma

Así que vamos a seguir enumerando y encontramos una clave .pem de un usuario, que esperamos que pertenezca al usuario Matt

Nos la descargamos a nuestro Kali y la intentamos descifrar con la ayuda de john. Obtendremos primero el hash con el script ssh2john

Para después descifrarla con john de Ripper y un ataque de diccionario

Y bingo, tenemos la contraseña computer2008, así que vamos a probar si podemos conectarnos con el usuario Matt

 

Obteniendo la flag user

Probamos a acceder por ssh pero sin éxito, parece que tenemos denegado el acceso por ssh a la máquina ya que rechaza nuestra conexión

Volvemos entonces a acceder a la máquina con el usuario de redis y logramos acceder desde la misma al usuario Matt, tenemos la flag de user

Escalado a matt

 

Escalado y flag root

Con la enumeración que hicimos al principio, descubrimos también una vulnerabilidad en la versión 1.910 de webmin, pero necesitábamos un usuario en dicha máquina para poder probar a escalar privilegios, utilizaremos entonces el siguiente script https://www.exploit-db.com/exploits/46984

Añadimos el mismo a metasploit

revisando exploits

 

Y configuramos las opciones del mismo:

webmin exploit

 

Ejecutamos y listo, tenemos una sesión en la máquina con la que conseguimos obtener acceso como root

Obteniendo la flag de root

 

Y con la flag obtenida, sólo queda cobrar los puntos por haber superado la misma.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *