Stacked - HackTheBox
Esta es una máquina de dificultad loca, para la intrusión aproveché XSS para derivar a SSRF y de este modo ganar acceso abusando de la creación de funciones lambda de AWS. Para la escalada de privilegios encontré una tarea que se ejecutaba a intervalos regulares de tiempo, esta concatenaba el parámetro –handler a la hora de crear la función lambda por lo que conseguí inyectar comandos y convertirme en root en el contenedor.
Esta es una máquina de dificultad difícil, concatene Type Juggling con una inyección SQL para subir archivos usando into outfile y gane acceso como ‘www-data’, para la escalada me aproveche de la versión desactualizada del Kernel para explotar *DirtyPipe.
Esta es una máquina difícil, para la intrusión me aprovecho un ‘Server Side Template Injection’ para ganar RCE, la escalada de privilegios se compone de un Binario vulnerable a ‘Buffer Overflow’ pero con una particularidad, poco espacio en la memoria de la pila, por lo que hay que derivar a un ‘Socket Reuse’.
Esta es una máquina de dificultad fácil, la primera máquina Android, para su intrusión encontré con Nmap que se estaba ejecutando ES File Explorer, viendo este busque exploits y encontré que era vulnerable a la lectura de archivos arbitrarios del dispositivo, enumerándolo un poco encontré una imagen con una credencial que me sirvió para acceder mediante SSH, para la escalada la máquina tenía el puerto adb abierto, simplemente me conecte a él.
Esta es una máquina de dificultad difícil, para su intrusión me aproveche de una versión vulnerable de ‘cacti’ y gane acceso a la máquina explotando ‘SQLi’ de manera automatizada y ganando acceso desde un shell inverso de ‘mkfifo’, para la escalada encontré una ‘capability’ de Docker llamada ‘SYS_MODULE’ vulnerable a una escalada de privilegios.
Esta es una máquina de dificultad Fácil, para su intrusión me aproveché de la descarga de un archivo .pcap en la web y conseguí una contraseña que me sirvió para autenticarme por SSH, para la escalada de privilegios encontré la capabilidad de Python en el sistema que me permitía cambiar el UID, lo cambie a 0 y gane acceso como root.
Esta es una máquina de dificultad media, para su intrusión me aproveché de un MIB por SNMP para enumerar, encontré un usuario y una ruta del servidor web, me reporto un panel de control y accedí con michelle de usuario y contraseña, pude subir una ‘webshell’ aprovechando un exploit del panel, conseguí escalar privilegios aprovechando un binario que se ejecutaba al escanear SNMP con un MIB.
Esta es una máquina de dificultad media, para su intrusión me aproveché de un ‘XSS’ para robarle la cookie de sesión al administrador y hacer uso de un ‘exploit’ para ganar ejecución de código arbitrario, para la escalada de privilegios tenía la capacidad de ejecutar el binario pkg con privilegios de ‘root’, para ello me dirigí a gtfobins y encontré una carga útil que permitía escalar privilegio.
Esta es una máquina de dificultad media, para su intrusión me aproveche de un buffer vulnerable a ‘SSTI’ en un servidor con GO y logre enumerar depósitos con AWS y subir una ‘webshell’ en PHP al servidor web, para la escalada de privilegios conseguir encontrar un módulo nginx de puerta trasera y encontré el parámetro que me hacía falta para el ‘RCE’ como el usuario ‘ROOT’.
Esta es una máquina de dificultad fácil, para su intrusión me aproveché de una versión vulnerable de PHP/8.1.0-dev, añadiéndole la cabecera ‘User-Agentt’ seguido de ‘zerodiumsystem()' se encontró que se puede ganar 'RCE', para ello me entable una reverse Shell por netcat y gane acceso, para la escalada encontré que se podría ejecutar el binario de Knife como usuario root, busque en gtfobins y escale privilegios.
Esta es una máquina de dificultad fácil, para su intrusión logré dumpear credenciales en un escáner de archivos, con searchsploit encontré un exploit que me permitía ganar acceso, pero tenía que estar autenticado, introduje las credenciales en el exploit y apunte a mi IP para recibir un Shell inverso, en la escalada de privilegios encontré que tenía privilegios AlwaysInstallElevated, es decir que podía depositar archivos .msi maliciosos.
Esta es una máquina de dificultad media, para la intrusión mediante la cookie logre saber que estaba tratando con un ataque JWT, para romperlo me cree una cookie nueva tirando desde mi clave privada por un servidor por Python y cambio de panel, tenía una opción de subir de archivos, cree una reverse Shell y la subí, para la escalada de privilegios me aproveche de una versión vulnerable de Docker.
Esta es una máquina fácil, para la intrusión me aproveche de una versión vulnerable de Drupal que estaba corriendo en el sistema y gane RCE, tuve que migrar a otro usuario, para ello encontré credenciales de MySQL que me sirvieron para encontrar un hash, tras romperlo la credencial era del usuario al que tenía que migrar, para la escalada de privilegios me aproveche de snap, ya que se podía ejecutar con privilegios de sudo.
Esta es una máquina fácil, para su intrusión logre enumerar usuarios con la herramienta rpcenum de s4vitar y logre dumpear un hash net ntlm v2 sin autenticación al protocolo kerberos, esta técnica es llamada ASREPRoast, también logre crackearlo por fuerza bruta con john, accedí con evil-winrm, para la escalada use BloodHound para ver el vector de ataque, vi que podía otorgarme privilegios DCSync basándonos en la función de los grupos.
Esta es una máquina fácil, para su intrusión encontré una versión vulnerable de un servicio que estaba corriendo la máquina, llamado nostromo, use un exploit de GitHub para esa versión y gane la ejecución de código arbitrario, para la escalada de privilegios me aproveche de una utilidad que podía ejecutar como el usuario root, tuve que minimizar la terminal para hacer el bypass.
Esta es una máquina fácil, para su intrusión encontré credenciales en una ruta del servidor web, las utilice para dumpear más usuarios con lookupsid.py, con el usuario Chase me autentique con una contraseña craqueada en evil-winrm, para la escalada de privilegios dumpee un proceso de Firefox con procdump64.exe y filtre en el volcado por login.php y me reporto credenciales de acceso con Administrador.
Esta es una máquina de dificultad fácil, me gusto bastante esta máquina, la intrusión fue divertida, me aproveché de una versión vulnerable de CMS Made Simple, el exploit del cual hice uso explotaba una vulnerabilidad SQL, una vez accedí a la máquina pasaron unos cuantos problemas a la hora de escalar, hasta que vi que estaba ejecutándose run-parts sin su ruta absoluta al iniciar SSH, por lo que me aproveche de un PATH hijacking.
Esta máquina es de dificultad fácil, me gusto más la intrusión al aprovecharme de un panel de control vulnerable llamado OpenNetAdmin, use un exploit que te explotaba la vulnerabilidad del panel y te otorgaba ejecución remota de código arbitrario. Esta vez la escalada fue bastante sencilla de completar, al hacer sudo -l me permitía como cualquier usuario ejecutar el binario de nano a un archivo llamado priv.
Esta es una máquina de dificultad fácil, la experiencia no ha sido frustrante por su facilidad. Haciendo fuzzing me encontré un directorio llamado cgi-bin por lo que pensé que podría tratarse de un shellshock, al volver a hacer fuzzing encontré un script llamado user.sh, y si era vulnerable a shellshock, una vez gane acceso a la máquina me aproveche de Perl porque lo podía ejecutar con sudo.
Esta máquina es de dificultad fácil, me gusto en especial porque se tocaban temas de directorio activo, para su intrusión me aproveche de un archivo de disco duro virtual, pude dumpear hashes de las SAM y consegui craquear el del usuario l4mpje con john. Para la escalada de privilegios encontré una archivo llamado consConf.xml que tenía un clave codificada, la decodifiqué y conseguí root
Esta máquina es de dificultad fácil, me gusto más la intrusión que la escalada de privilegios. Para su intrusión encontré la clave de preferencias de grupo en un recurso compartido llamado Replication y en el archivo Groups.xml, lo descifré con gpp-decrypt y me dio acceso con smbclient haciendo uso del usuario SVC_TGS. Para la escalada conseguí dumpear el Ticket del usuario Administrador, me sirvió para autenticarme con psexec.
Esta máquina es un ‘Starting Point’, me gusto más la intrusión que la escalada de privilegios, accediendo a un panel haciendo uso de credenciales de otra máquina, hice fuerza bruta a un parámetro de la URL (id) y encontré un usuario con más privilegios, logre cambiar la vista de la página y conseguir subir una reverse Shell en PHP, para su escalada encontré un programa que estaba ejecutando cat sin su ruta absoluta, esto era un PATH hijacking.
Esta es una máquina de dificultad fácil, me gusto más la intrusión que la escalada de privilegios, para su intrusión logre hacer ‘directory listing’ y conseguir ver credenciales de WordPress, me autentique con el usuario administrador, conseguí modificar la plantilla 404 e incrustar una reverse Shell, en la escalada de privilegios me permitía ejecutar el binario initctl con cualquier usuario, modifique un servicio y conseguir root
Esta máquina es un ‘Starting Point’, me gusto más la intrusión, me aproveche de un archivo DTS con código XML en el recurso compartido backups que tenía credenciales de autenticación en texto claro, me conecte con mssqclient y logre RCE mediante código PowerShell, me entable una reverse Shell, para la escalada de privilegios encontré un archivo en una ruta del sistema con credenciales, logre autenticarme con winexe.
Esta máquina es de dificultad media, la intrusión me gusto mucho más que la escalada, para su intrusión logre descargar un archivo .bak que tenía el código de la página, viéndolo me doy cuenta de que estaba tratando con una deserializacion insegura en PHP, serialice código malicioso y lo subí al servidor, para la escalada tuve que incluir mi clave publica antes que se copie a known_hosts.
Esta es una máquina de dificultad fácil, me gusto más la intrusión, para su intrusión me aproveché de un campo de subida de archivo, hice uso de un script que te creaba la plantilla maliciosa, la subí me puse en escucha con netcat y gane una Shell. Para la escalada de privilegios utilicé el comando sudo -l y como todo los usuarios me permitía ejecutar el binario de Metasploit.
En este artículo enseñó a crear y usar un exploit de desbordamiento del buffer para ganar un Shell abusando de funciones inseguras como strcpy, getenv etc. También muestro como funciona el binario a bajo nivel, los registros ESP, EIP y como emplear herramientas como gdb o hexedit para editar binarios en hexadecimal.
Strapi CMS versión 3.0.0-beta.17.4 maneja mal el restablecimiento de contraseña y esto permite a un atacante hacerse con el control de una cuenta privilegiada, de manera que he desarrollado un módulo de exploit en Metasploit y enseño de manera práctica como explotar dicha vulnerabilidad.
Esta es una máquina de dificultad media, me gusto más la intrusión, para su intrusión encontré la ruta license que contenía unas credenciales codificadas en base64, me sirvieron para acceder al panel de WordPress, hice uso de un cambio en una plantilla y gane acceso, para la escalada de privilegios vi que podía ejecutar nmap con privilegios suid, hice un nmap –interactive seguido de !sh y me convertí en root.
Este artículo es meramente informativo para dar a entender como funciona el algoritmo de codificación base64, comienzo con una breve Introducción sobre que es la Criptografía para ubicar un poco el tema, también hago ejemplos del uso que se le da en el campo de la ciberseguridad.
)
Esta es una maquina de dificultad facil, su intrusion comenzaba aprovechando una version desactualizada de OpenNetAdmin, enviando una peticion preparada al servidor y ganando ejecucion remota de comandos como el usuario www-data, despues tuve que hacer un pivotting de usuarios para convertirme en el usuario douglas crackeando un hash mediante un patron de contraseña de 10 caracteres.