Signed - Hack The Box
Esta fue una máquina bastante complicada y talachuda. Después de analizar los escaneos y de solo ver el puerto 1433 abierto, que es el servicio MSSQL, comprobamos la credencial dada y lo enumeramos. Al no encontrar algo útil, decidimos aplicar el NTLM Relay Attack, logrando capturar un Hash NTLM de un usuario. Crackeamos el Hash y nos volvemos a conectar al MSSQL como este nuevo usuario. Aunque este usuario tiene un poco más de privilegios, no tiene los suficientes para habilitar la función xp_cmdshell, por lo que decidimos aplicar un Silver Ticket Attack para meter a nuestro usuario a un grupo con mayores privilegios. Creamos el Silver Ticket y al conectarnos de nuevo al MSSQL, ya nos deja ejecutar comandos con la función xp_cmdshell, que usamos para cargar el binario nc.exe y así logramos conectarnos a la máquina víctima. Al no encontrar una forma de escalar privilegios, investigamos un poco y vemos que es posible leer archivos privilegiados con la función OPENROWSET. Aunque nuestra sesión nos permite ha...
Esta fue una máquina algo complicada. Después de analizar los escaneos, nos enfocamos en analizar la página web activa en el puerto 80. Durante el análisis, encontramos un formulario al que le aplicamos pruebas para saber si algún campo es vulnerable a XSS, siendo así que descubrimos que un campo es vulnerable a Blind y Stored XSS. Aplicamos Fuzzing al dominio de la página web para descubrir archivos, directorios y subdominios ocultos, descubriendo un subdominio que resulta ser un login. Aplicamos el Stored XSS para obtener una cookie de sesión, secuestrando la sesión de un usuario del subdominio. Dentro del dashboard, encontramos una sección que nos permite subir archivos. Aplicamos un sniper attack para saber qué archivos podemos subir, descubriendo que podemos subir un archivo tipo phar, siendo así que cargamos una Webshell de PHP, con la que nos mandamos una Reverse Shell para ganar acceso a la máquina víctima. Dentro de la máquina, encontramos un archivo que contiene las credenciales de un usuario, lo...
Esta fue una máquina bastante complicada. Después de analizar los escaneos y de probar las credenciales que nos dieron, nos enfocamos en el servicio MSSQL, siendo aquí donde encontramos un Linked Server que nos conecta a una segunda máquina AD. Conectándonos a esta segunda máquina desde MSSQL, nos permite habilitar el xp_cmdshell para ejecutar comandos de forma remota. Gracias a esto, podemos cargar una Reverse Shell con la que obtenemos una sesión de Meterpreter de Metasploit Framework. Utilizamos esta sesión para usar el módulo local_exploit_suggester, con tal de encontrar una forma de escalar privilegios, siendo así que descubrimos que la máquina es vulnerable al Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-30088). Usamos el módulo cve_2024_30088_authz_basep y logramos escalar privilegios en la segunda máquina AD, convirtiéndonos en Administrador. Analizando la conexión entre el AD1 y el AD2, utilizamos la herramienta Rubeus.exe para capturar un TGT, que se almacena localmente en el AD2...
Esta es una máquina bastante sencilla. Después de analizar los escaneos, nos dedicamos a analizar la página web activa en el puerto 80. Vemos que es posible subir archivos de cualquier tipo y aplicamos Fuzzing para descubrir en qué directorio se guardan. Abusamos de esta carga de archivos sin filtros para cargar una Webshell de PHP, con la que logramos obtener una Reverse Shell, ganando acceso principal a la máquina víctima. Dentro, una pista nos indica la existencia de un archivo ZIP, que encontramos y crackeamos, obteniendo la contraseña de otro usuario codificada en MD5. Crackeamos la contraseña y nos logueamos como otro usuario de la máquina. Revisamos los privilegios de nuestro usuario y vemos que podemos usar el binario tar como Root. Utilizamos la guía de GTFOBins para encontrar una forma de escalar privilegios usando el binario tar, convirtiéndonos en Root.
Esta es una máquina bastante complicada. Después de analizar los escaneos, nos dedicamos a analizar la página web activa en el puerto 8000. En dicha página, creamos un nuevo usuario y probamos las funcionalidades de la página, siendo así que logramos descubrir que un reporte de bugs, es vulnerable a Blind XSS y Stored XSS, logrando secuestrar la sesión (Session Hijacking) de un administrador. Revisando las funcionalidades de la sesión del administrador, identificamos el uso de un parámetro que resulta ser vulnerable a Local File Inclusion (LFI) y Directory Traversal. De esta forma, logramos leer un archivo interno que contiene las contraseñas hasheadas en MD5, que crackeamos y nos logueamos como otro usuario. Analizando la sesión del nuevo usuario, vemos que tiene funcionalidades bloqueadas en otras sesiones al subir una imagen. Analizamos una funcionalidad, descubriendo que es vulnerable a Inyección de Comandos (Command Injection), lo que nos permite mandarnos una Reverse Shell y ganando así, acceso princ...
Después de analizar los escaneos, nos enfocamos en la página web, ya que el escaneo mostró el uso de un dominio que registramos en el /etc/hosts. Descubrimos que es posible subir distintos archivos a una página web del dominio, permitiendo la subida de archivos DOT. Aprovechamos esto para crear un archivo malicioso DOT, que almacena una macro que ejecuta una Reverse Shell una vez que se carga a la página web, siendo esta la forma en que ganamos acceso principal. Dentro, encontramos un archivo comprimido 7z, que logramos crackear para obtener la contraseña de un usuario (primer usuario). Utilizamos esas credenciales para ganar acceso al login de Roundcube, encontrando las credenciales de otro usuario (segundo usuario), con lo que ganamos acceso vía SSH. Utilizamos las credenciales del nuevo usuario (segundo usuario) para enumerar el servicio Samba, siendo así que descubrimos una base de datos de Password Safe. Logramos crackear esta base de datos y encontramos la contraseña de otro usuario (tercer usuario),...
Esta fue una máquina un poco complicada en cuanto a la escalada de privilegios. Después de analizar el escaneo y al no encontrar algún puerto abierto, más que el puerto 22, se realiza un escaneo por UDP, encontrando el puerto 500 abierto que pertenece al protocolo IKE. Analizamos el protocolo IKE con la herramienta ike-scan, logrando obtener un usuario y el hash de la clave PSK, que logramos crackear con la herramienta psk-crack. Al no tener credenciales válidas del atributo XAUTH del protocolo IKE, utilizamos el usuario y la contraseña crackeada de la clave PSK para ganar acceso a la máquina víctima vía SSH. Dentro, no encontramos una vulnerabilidad como tal, hasta que vemos la versión del comando sudo, siendo una versión vulnerable que nos permite escalar privilegios usando el Exploit CVE-2025-32463, siendo así que nos convertimos en Root.
Esta fue una máquina bastante sencilla. Después de analizar los escaneos, nos enfocamos en analizar la página web activa en el puerto 80. La página web nos da una pista, por lo que aplicamos Fuzzing, descubriendo así un directorio oculto. Al visitar el directorio, nos da otra pista con la que podemos aplicar Fuerza Bruta al servicio SSH, ganando acceso principal a la máquina víctima. Dentro, al revisar los privilegios de nuestro usuario, descubrimos que podemos usar el binario vim como Root. Utilizamos la guía de GTFOBins para encontrar una forma de escalar privilegios, siendo así que nos convertimos en Root. Además, aprovechamos que nuestro usuario está dentro del grupo LXD para practicar la escalada de privilegios, abusando de este grupo.
Esta fue una máquina un poco complicada. Después de analizar los escaneos, nos enfocamos solo en la página web activa en el puerto 3000 que resulta ser el login de la plataforma Grafana. Analizamos su código fuente y obtenemos su versión, lo que nos permite buscar un Exploit que sea acorde a esta. Encontramos que la versión usada de Grafana es vulnerable a Directory Traversal y Arbitrary File Read (CVE-2021-43798), que afecta versiones de 8.0.0-beta1 a 8.3.0. Gracias al Exploit, logramos leer el archivo /etc/passwd y el archivo grafana.ini, siendo este último el que contiene las credenciales para ganar acceso al servicio MySQL. Entrando al MySQL, enumeramos la base de datos de Grafana y conseguimos la contraseña de un usuario de la máquina víctima, así logramos ganar acceso vía SSH. Dentro de la máquina, utilizamos la herramienta linpeas.sh para descubrir vulnerabilidades, descubriendo que el binario python3 tiene la capability CAP_SETUID. Usamos la guía de GTFOBins para encontrar una forma de escalar priv...
Esta fue una máquina sencilla que puede llegar a complicarse un poco. Después de realizar los escaneos, descubrimos un login en la página web activa en el puerto 5678 que resulta ser de la plataforma N8N. En la segunda página web activa en el puerto 8765, descubrimos un mensaje oculto en el código fuente, dándonos una pista sobre un usuario y el formato de la contraseña que debió crear. Aplicamos Fuzzing a ambas páginas, en la primera (donde está la plataforma N8N) no encontramos algo relevante, pero en la segunda, encontramos un login que es muy similar al login de la plataforma N8N. Decidimos aplicar fuerza bruta a ambos logins, siendo el segundo login al que encontramos la contraseña, que al entrar nos da una pista con la que logramos ganar acceso al login de la plataforma N8N. Ya dentro, descubrimos un WorkFlow que logra leer el archivo /etc/passwd, lo que nos permite identificar un usuario de la máquina víctima, al que le aplicamos fuerza bruta y logramos ganar acceso vía SSH. Ya en la máquina víctima...