Skip to main content
HackTheBox machines – Surveillance WriteUp

HackTheBox machines – Surveillance WriteUp

Surveillance es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Linux

Surveillance es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Surveillance 10.129.178.177 a /etc/hosts como surveillance.htb y comenzamos con el escaneo de puertos nmap.

Una vez detectados los puertos abiertos lanzamos un escaneo más completo sobre los mismos

 

Enumeración

Descubiertos los puertos accedemos en primer lugar al portal web en el puerto 80 donde vemos la siguiente página web

HackTheBox machines – Surveillance WriteUp

 

Revisamos el portal web pero no vemos gran cosa así que enumeramos directorios y ficheros

 

Entre los directorios encontramos vemos una uri interesante, /admin, la cual nos lleva a un formulario de login

HackTheBox machines – Surveillance WriteUp

 

En la misma página también podemos ver el software utilizado, siendo este craft cms

Si buscamos un poco en google encontramos una vulnerabilidad de RCE y una poc para la misma.

Descargamos el script y vamos a hacer un par de modificaciones.

En primer lugar quitamos la parte de los proxies, ya que al menos en nuestro caso, no vamos a utilizarlos.

En segundo lugar vamos a modificar la línea siguiente

Por esta otra

Una vez realizadas las modificaciones necesarias ejecutamos para obtener una shell con www-data

La shell que hemos obtenido es bastante inestable así que vamos a mejorarla con el siguiente comando

Y tenemos el acceso en nuestra escucha

 

Escalado al usuario matthew

Después de dar varias vueltas por la máquina encontramos un backup del portal web

 

Se trata de un backup de la base de datos comprimido en formato zip así que extraemos su contenido

 

Y si buscamos por el mismo tenemos un hash

 

Pasamos el hash por crackstation y tenemos una password

HackTheBox machines – Surveillance WriteUp

 

Con la password obtenida accedemos por ssh

 

Obteniendo la flag de user

Una vez dentro cogemos la primera flag

 

Escalado de privilegios

Enumeramos el sistema y vemos en la configuración de apache un site que no habíamos visto antes

 

Se trata de zoneminder, un software opensource para trabajar con CCTV.

Así que nos mandamos el puerto con chisel

 

Y accedemos a través del navegador

Primer acceso a zoneminder

 

Escalado al usuario zoneminder

Si buscamos en google encontramos un exploit a través de los snapshots de la aplicación, así que descargamos el mismo.

Añadimos el mismo a nuestro metasploit y ejecutaremos para obtener la shell

 

Para hacer más cómoda esta parte, añadimos una clave ssh previamente generada y accedemos por ssh

 

Escalado al usuario root

Una vez dentro con el usuario zoneminder revisamos los privilegios del usuario

Y vemos que puede ejecutar como root una serie de scripts

 

Revisamos en detalle los diferentes scripts y vemos una parte muy interesante en el fichero zmupdate.pl

 

El script se utiliza para realizar un backup de la base de datos pero ejecuta el comando con la función qx(), que en otras palabras, es una función standard en perl para la ejecución de comandos del sistema, por lo que puede ser nuestro apoyo para escalar a root.

Hacemos una prueba ejecutando con una versión y usuario diferentes y muestra un error junto con las credenciales utilizadas

Así que creamos un script en bash para ejecutar una revshell

Y ejecutamos de nuevo, pero en este caso, el nombre de usuario será la ejecución de nuestro script

Y tenemos una shell como root

 

Obteniendo la flag de root

Una vez que ya somos root vamos a por la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *