Skip to main content
HackTheBox machines – Sandworm WriteUp

HackTheBox machines – Sandworm WriteUp

Sandworm es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Linux

Sandworm es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Sandworm 10.10.11.218 a /etc/hosts como sandworm.htb y comenzamos con el escaneo de puertos nmap.

 

Hecho el primer escaneo rápido, vamos a sacar más info de los puertos descubiertos

Encontramos un dominio ssa.htb, así que lo añadimos al fichero hosts y procedemos con la enumeración del mismo.

 

Enumeración

Al acceder al portal web, nos redirecciona automáticamente al puerto 443 y vemos la siguiente ventana

HackTheBox machines – Sandworm WriteUp

 

Navegamos por la página y encontramos una sección donde podemos cifrar y descrifrar mensajes mediante claves pgp

HackTheBox machines – Sandworm WriteUp

 

Así que vamos a hacer alguna prueba a ver que podemos sacar.

Generamos en primer lugar una clave

Una vez generada exportamos la clave pública

Y ciframos un mensaje de prueba

 

Nos vamos a la web y lo probamos, verificando con ello que funciona

Verificando las claves pgp

 

Después de varias pruebas y búsquedas en google encontramos una forma de poder cambiar el id de la clave

Siguiendo el ejemplo de la web anterior, modificamos el id de nuestra clave

Y probamos a cifrar otro mensaje con la idea de verificar si el portal es vulnerable a SSTI, y si nos fijamos en lugar de aparecer el string {{4*4}} aparece el número 16

Explotando un SSTI

 

Así que vamos a generar nuestra rev shell.

En primer lugar generamos la revshell en base 64

Y en segundo el payload que envíaremos como id de la clave para abusar de la vuln de SSTI que tiene el portal

Ahora enviamos el mensaje y obtendremos acceso en nuestra escucha

 

Escalando a silentobserver

Estamos dentro pero aún no tenemos la flag, así que revisamos la home del usuario

Vemos un directorio de firejail, un software de sandbox, que podría venir más adelante.

Revisamos en los directorios encontrados y vemos unas credenciales

 

Y conectamos por ssh con las claves obtenidas

 

Obteniendo la flag de user

Una vez dentro, simplemente cogemos la flag

 

Escalado al usuario atlas

El siguiente paso será el escalado a root, así que enumeramos la máquina y revisamos los ficheros con permisos de suid

Y vemos el binario de firejail que encontramos en la home del usuario atlas

Vemos que el grupo jailer tiene permisos para ejecutarlo como root así que revisamos y vemos que el usuario atlas pertenece a este grupo

Así que vamos a necesitar volver. Revisamos los procesos y vemos uno interesante

Revisando procesos

 

Revisamos la ruta /opt/tipnet y encontramos lo siguiente

 

Se trata de una aplicación en rust llamada tipnet, así que revisamos el fichero toml

 

Y revisamos el fichero principal de la aplicación

 

Si revisamos el código vemos que interactúa con una base de datos en MySQL, y que además de eso carga una librería llamada logger para el registro de logs.

Revisamos en la máquina y encontramos la librería logger, y además tenemos permisos de escritura sobre la misma

 

Así que buscamos en google y encontramos una forma de crear una revshell en rust

Por lo que modificamos el fichero lib.rs de la librería logger para añadir nuestra revshell y quedaría así

 

Una vez hecho compilamos

 

Y esperamos a la siguiente ejecución para obtener acceso en nuestra escucha con el usuario atlas

 

Escalado a root

Ahora volvemos a firejail, y encontramos un exploit para escalar privilegios

Por lo que lo descargamos, damos permisos de ejecución y ejecutamos

 

El mismo generará un proceso malicioso que nos permitirá el escalado, así que abrimos una segunda terminal y cargamos contra el proceso

 

Una vez hecho, escalamos a root

 

Obteniendo la flag de root

Siendo ya root, simplemente, cogemos la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *