Tortuga - TheHackerLabs
Esta fue una máquina bastante sencilla. Después de analizar los escaneos, vamos directamente a la página web activa en el puerto 80, donde encontramos 2 pistas sobre la máquina, siendo la primera un usuario al que le aplicamos fuerza bruta con hydra, siendo así que descubrimos su contraseña y ganamos acceso vía SSH. La segunda pista nos lleva a un archivo oculto que contiene la contraseña de otro usuario. En ambos usuarios no tenemos privilegios dentro de la máquina, así que usamos linpeas.sh para buscar una forma de escalar privilegios, encontrando así que el binario Python3 tiene la capability SETUID. Utilizamos un comando de la guía de GTFOBins que nos permite escalar privilegios abusando de esta capability y logramos escalar privilegios.
Esta fue una máquina un poco complicada. Después de analizar los escaneos, pasamos directamente a analizar la página web activa en el puerto 80. Ahí podemos identificar una página que es vulnerable a Local File Inclusion (LFI). Además, después de aplicar Fuzzing, identificamos una página que permite subir archivos, siendo que tiene un archivo precargado que resulta ser una Reverse Shell. Utilizamos esa Reverse Shell para ganar acceso principal a la máquina víctima. Revisando los privilegios, vemos que tenemos el SeImpersonatePrivilege, lo que nos permite escalar privilegios de dos formas, siendo la primera usando el comando getsystem de Meterpreter y la segunda usando la herramienta God Potato, siendo así que completamos la máquina.
Esta fue una máquina algo complicada. Después de analizar los escaneos, nos dirigimos directamente a la página web activa del puerto 80, siendo ahí donde descubrimos un login y el uso de PHP versión 8.3.27, pero al no encontrar nada más, decidimos aplicar Fuzzing. Aplicando Fuzzing, descubrimos un subdominio que es un login y utiliza la herramienta Cacti Network Management, también descubrimos algunos archivos dentro del dominio principal, siendo uno de estos un endpoint que resulta ser una API, al cual también descubrimos un parámetro aplicando Fuzzing. Resulta que el parámetro utiliza PHP Type Juggling, por lo que utilizamos Magic Hashes para aplicar un bypass al parámetro que encontramos, siendo así que logramos obtener toda la información de la API. En esa información, vemos usuarios y sus contraseñas en Hashes MD5, pero al intentar crackearlas, solo obtenemos un resultado exitoso, siendo un usuario y contraseña que nos sirven para ganar acceso al login de Cacti. Investigamos la versión usada de Cacti,...
Esta fue una máquina complicada. Después de analizar los escaneos, nos dirigimos a analizar la página web activa en el puerto 80, siendo una página de subasta de objetos mágicos. Aplicando Fuzzing, descubrimos que la página web alberga un repositorio de GitHub que logramos dumpear, resultando ser una copia completa de la página web activa. Analizando el código del repositorio descargado, descubrimos una página que es vulnerable a Inyecciones SQL (SQLi), a la que tenemos acceso una vez que nos logueamos, y vemos que otra página puede ser vulnerable a Inyección de Comandos (CI), pero solamente tenemos acceso a esta con credenciales de administrador. Primero, aplicamos Inyecciones SQL a PDO, lo que nos permite dumpear un usuario y su contraseña en Hash Bcrypt que logramos crackear. Utilizamos estas credenciales para autenticarnos en la página y logramos ganar acceso a un panel de administrador. Como vimos antes, este panel resulta ser vulnerable a Inyección de Comandos (CI), lo que nos permite ejecutar una Re...
Esta fue una máquina sencilla al principio y al final se vuelve bastante complicada. Después de analizar los escaneos, vamos directamente a revisar la página web, pero al no encontrar algo útil, nos dirigimos con el servicio MSSQL. Enumeramos el MSSQL, siendo que descubrimos un usuario al que podemos suplantar y enumerar una base de datos perteneciente a la página web, donde logramos descubrir un Hash del algoritmo PBKDF2. Creamos un script de Python para poder crackear el Hash y aplicamos Password Spraying para descubrir a quién pertenece esa contraseña, logrando encontrar un usuario con el que podemos ganar acceso a la máquina víctima vía WinRM. Investigamos la versión de Windows y descubrimos que es vulnerable al ataque BadSuccessor, que logramos aplicar para obtener un TGS del servicio krbtgt y así obtenemos el Hash del Administrador con impacket-secretsdump, logrando escalar privilegios.
Esta fue una máquina un poco complicada. Después de analizar los escaneos, nos dirigimos a analizar la página web activa en el puerto 80, en donde encontramos una página que nos lleva a un subdominio que nos permite subir archivos comprimidos ZIP, 7Z y RAR. Investigando un poco, encontramos una vulnerabilidad que nos permite cargar un archivo ZIP malicioso que nos ayuda a capturar el Hash NTLMv2 del usuario que ejecuta la página web, siendo el CVE-2025-24071 y CVE-2025-24054. Gracias a esta vulnerabilidad obtenemos la contraseña y un usuario válido, con lo que logramos enumerar el AD con python-bloodhound y BloodHound. Después de enumerar el AD, descubrimos que nuestro usuario se puede agregar un grupo que, dicho grupo, permite cambiarle la contraseña a un usuario sin restricciones. Aplicamos esta cadena de ataques para lograr apoderarnos de un usuario con el que nos autenticamos en la máquina AD. Dentro, utilizamos winPEASx64 para encontrar una forma de escalar privilegios, siendo así que descubrimos el u...
Esta es una de las máquinas más complicadas que he hecho. Después de analizar la página web activa en el puerto 80, nos damos cuenta de que, aparte del uso de WordPress, vemos que está utilizando el plugin GiveWP, que es vulnerable a ejecución remota de comandos (CVE-2024-5932), lo que nos permite inyectar y ejecutar una Reverse Shell, ganando así acceso principal a la máquina. Vemos que estamos dentro de un contenedor que, al investigar sus variables de entorno, descubrimos que hay una red interna a la que este contenedor tiene acceso. Utilizamos chisel para aplicar Port Forwarding, con tal de poder ver una página web activa en el puerto 5000, de lo que parece ser otro contenedor. Al analizar esta página, resulta ser un CMS de uso interno, pero vemos que utiliza una versión vulnerable de PHP-CGI (CVE-2024-457), que nos permite ejecutar comandos de manera remota, siendo esta forma con la que ganamos acceso a una segunda máquina. Resulta que esta segunda máquina es otro contendor, que al revisar las variabl...
Esta fue una máquina sencilla, pero que te puedes perder si no tienes cuidado. Después de analizar los escaneos, vemos que la página web activa en el puerto 80, está usando Virtual Hosting, pues el escaneo nos muestra un dominio. Registramos el dominio en el /etc/hosts y visitamos la página. Resulta ser un login, que nos deja registrarnos como un nuevo usuario. Entrando al login, vemos un dashboard en donde podemos hacer conversiones de archivos XML usando archivos XSLT para generar un archivo HTML. También, vemos que en la sección About, nos comparten el proyecto completo, que después de descargarlo y analizarlo, vemos que es vulnerable a inyecciones XSLT. Aplicamos algunas inyecciones para inyectar un script de Python que ejecuta una Reverse Shell, con la que ganamos acceso principal a la máquina víctima. Dentro, enumeramos la base de datos de la página web, utilizando el comando sqlite3, descubriendo la contraseña de un usuario como un hash MD5, que crackeamos con JohnTheRipper y nos conectamos a la máq...
Esta fue, sin duda, la máquina más difícil que he realizado en mi vida. Comenzamos con el análisis de la página web activa en el puerto 443, siendo solo un login. Le aplicamos Fuzzing, pero no encontramos algo útil. Hacemos la enumeración de usuarios vía Kerberos, logrando obtener la sintaxis usada para usuarios y una lista válida. Utilizamos la lista para aplicar inyecciones LDAP de forma automatizada con un script de Python. Logrando encontrar la contraseña de un usuario que descubrimos, es válida para otro usuario, después de aplicarle Password Spraying. Usamos al usuario y contraseña para entrar al login, obteniendo acceso. Revisando las funcionalidades de la máquina, descubrimos que es vulnerable a Local File Inclusion (LFI), descubriendo un archivo web.config que contiene los datos necesarios para forjar una cookie de Forms Authentication con ASP.NET, para que podamos obtener la sesión del usuario web_admin (Session Fixation). Creamos la cookie con un script de C# y Python, logrando suplantar al usua...
Esta fue una máquina bastante complicada y talachuda. Después de analizar los escaneos y de solo ver el puerto 1433 abierto, que es el servicio MSSQL, comprobamos la credencial dada y lo enumeramos. Al no encontrar algo útil, decidimos aplicar el NTLM Relay Attack, logrando capturar un Hash NTLM de un usuario. Crackeamos el Hash y nos volvemos a conectar al MSSQL como este nuevo usuario. Aunque este usuario tiene un poco más de privilegios, no tiene los suficientes para habilitar la función xp_cmdshell, por lo que decidimos aplicar un Silver Ticket Attack para meter a nuestro usuario a un grupo con mayores privilegios. Creamos el Silver Ticket y al conectarnos de nuevo al MSSQL, ya nos deja ejecutar comandos con la función xp_cmdshell, que usamos para cargar el binario nc.exe y así logramos conectarnos a la máquina víctima. Al no encontrar una forma de escalar privilegios, investigamos un poco y vemos que es posible leer archivos privilegiados con la función OPENROWSET. Aunque nuestra sesión nos permite ha...