HTB — Academy
Iniciamos con un escaneo de puertos para saber sobre que servicio iniciaremos nuestras pruebas de seguridad.
Solo se tienen 2 puertos abiertos, no realizaremos ataques de fuerza bruta al SSH, si visitamos la pagina web nos hace una re-dirección hacia academy.htb entonces en nuestro archivo hosts de linux o windows agregamos este vhost, y podremos ver la pagina web.
Ingresando al portal, vemos un formulario para registro de usuarios y analizando el sitio podemos ver que tiene un campo oculto llamado roleid que tiene el valor 0, si nos registramos ingresamos con la cuenta de un usuario normal pero si cambiamos ese valor a 1 tendremos una cuenta de administrador.
Anteriormente realice algunas pruebas de fuzzing de archivos y directorios y encontré el archivo admin.php que nos servirá para continuar con las pruebas.
Analizando el contenido podemos ver que hay un vhost dev-staging-01.academy.htb, entonces agregamos esto a nuestro archivo hosts para ver la pagina que contiene.
Podemos ver que es un pagina desarrollada con el framework Laravel, buscando vulnerabilidades para esta versión de laravel, encontré en metasploit un RCE usando el app_key.
Una vez que ya se tiene shell, en la ruta /var/www/html existen 2 carpetas y entre los archivos de configuración existe una contraseña que puede ser útil.
Buscando los usuarios del sistema en /etc/passwd y probando la credencial encontrada tenemos acceso al host.
Después de revisar varias opciones para elevar privilegios tuve que usar linpeas.sh para poder encontrar mas opciones y después de revisar toda la salida tenemos otra pista.
Resulta que usa los “security audits” y con esa información se pudo extraer un usuario y contraseña. Mi pregunta es como obtuvo esos datos, después de leer un poco entendí el funcionamiento.
Ahora que ya tenemos acceso a otro usuario solo nos toca verificar los permisos que tiene para elevar privilegios.
Al revisar los permisos de ejecución que tiene con sudo, esto se volvió sencillo y solo se tenia que buscar algún método de elevar privilegios con composer.
Una VM interesante donde aprendí algo nuevo sobre los linux audit.
Happy hacking.
