Skip to main content
HackTheBox machines – Trick WriteUp

HackTheBox machines – Trick WriteUp

Trick es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Linux

Trick es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Trick 10.10.11.166 a /etc/hosts como trick.htb y comenzamos con el escaneo de puertos nmap.

Vemos varios puertos interesantes en esta máquina así que vamos a enumerar todos ellos a ver si conseguimos encontrar el camino correcto.

 

Enumeración

Empezamos revisando el portal web existente en el puerto 80 y podemos ver una vista previa en la siguiente imagen

Comenzando con el puerto 80 de la máquina Trick

 

Se trata de una web muy simple con un simple formulario para indicar un correo, revisamos un poco la página pero nada así que seguimos.

Revisamos también el puerto 25, y aunque somos capaces de conectarnos nos deniega el envío de correo así que vamos a continuar.

Probando con el puerto 53, DNS, vemos que es posible realizar una transferencia de zona así que la hacemos y descubrimos un subdominio nuevo

 

Añadiremos el subdominio preprod-payroll.trick.htb a nuestro fichero /etc/hosts y accedemos a través del navegador, donde veremos la siguiente pantalla de login

Segundo portal bajo el subdominio preprod-payroll.trick.htb

 

En este portal tampoco encontramos nada relevante, así que vamos a seguir con nuestra enumeración.

Después de varias pruebas de enumeración de subdominios, y sin dar con la tecla nos generamos un diccionario utilizando como prefijo el valor preprod-

Y enumeramos posteriormente con wfuzz para descubrir un subdominio nuevo

 

Otro subdominio más, así que añadimos preprod-marketing.trick.htb a nuestro /etc/hosts y accedemos, viendo el siguiente portal

Tercer portal en trick

 

Vamos a analizar esta tercera web, y encontramos la forma que utiliza para llamar a las diferentes plantillas html desde el código fuente

Descubriendo un posible LFI

 

Utilizando el parámetro page, podemos intentar llamar a otra página o realizar un LFI, y después de varias pruebas conseguimos dar con la tecla.

El portal aplica una protección eliminando los caracteres ../ pero es posible bypasear los mismos haciendo uso de …/./ de tal forma que vamos a tratar de conseguir el fichero /etc/passwd de la máquina con curl

Y funciona, así que conociendo los usuarios, hacemos algunas pruebas y conseguimos la clave ssh del usuario michael con el siguiente curl

 

Obteniendo la flag de user

Ahora que ya tenemos la clave ssh del usuario michael, accedemos y conseguimos la primera flag

 

Escalado de privilegios

Ya estamos dentro y tenemos la primera flag, así que vamos a por root.

Revisamos los permisos del usuario y este es capaz de reiniciar el servicio fail2ban

Investigamos en la máquina y vemos un directorio sobre el cual puede escribir el grupo security, grupo al cual pertenece el usuario michael

 

No podemos editar los ficheros existentes pero sí eliminarlos y añadir los nuestros, y si pensamos una posible forma de explotarlo, el framework fail2ban se encarga del baneo de usuarios, por lo que si editamos la regla de baneo de iptables y forzamos después el baneo del usuario root conseguiremos ejecutar aquello que queramos.

Vamos a ello pues, revisamos los ficheros y después de varias pruebas damos con la tecla con el fichero

Para ello lo que haremos será sustituir la siguiente línea del fichero

Por esta otra que dará el bit de suid al fichero /bin/bash

Así que generamos nuestro fichero con sed

Eliminaremos el fichero original y añadiremos el nuestro

 

El siguiente paso será reiniciar el servicio fail2ban

Y por último forzar el baneo del usuario root, para ello, realizaremos un ataque de fuerza bruta con la tool hydra

 

Una vez forzado el baneo, tan sólo esperamos un par de minutos para ver aplicado nuestro comando

Y conseguir escalar a root

 

Obteniendo la flag de root

Ya somos root, así que sólo nos queda obtener nuestra flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *