HTB — Blunder
Seguimos con los retos de Hackthebox.
Primero iniciamos con un reconocimiento de puertos, para saber que servicios tiene habilitado el host remoto, de esta forma sabremos por donde empezar.
nmap -sC -sV -Pn 10.10.10.191 -oN blunder.nmap
No hay mucho de donde buscar así que vamos con todo al puerto 80.
Fuzzing de directorios y archivos.
Entre las herramientas para esto tenemos, DIRB, WFUZZ, DIRHUNT.
encontramos el directorio admin, pero después de revisarlo no es tan útil. Así que sigamos buscando.
Al ser un portal web, la herramienta mas útil sera ZAP proxy. Usaremos el spider para poder acceder a todas las rutas del portal y esperemos que el proxy detecte algo interesante.
Ahora que tenemos un listen directory y googleando un poco BLUDIT es un CMS y la versión que tiene el portal es vulnerable.
Pero aun no tengo un usuario valido para explotar la vulnerabilidad, así que toco usar las viejas confiables (dirb,wfuzz, dirsearch, dirhunt) cada uno tiene su encanto aunque también se toman su tiempo.
Pero después de tanto buscar un archivo dirsearch encontró un archivo que después de buen rato viéndolo me di cuenta que me seria útil.
Después de una larga búsqueda y algunas ayudas del foro de HTB, decían que tenían wordlists propios y otro decía que también se pruebe listas de usuarios.
Y bueno tardo bastante pero use un wordlist de SecList (dejare que sufran un poco). Ahora que tenemos la contraseña que me costo demasiado.
Metasploit tiene un exploit para poder subir una shell y facilitarnos el trabajo de crear una bind o reverse shell.
Un problema que siempre tengo es la creación de una shell interactiva, les dejo el siguiente link para que puedan hacer comandos sin ningun problema.
Ahora que tenemos shell, y navegando por la carpeta HOME, no tenemos permisos para poder ver el archivo users.txt que se encuentra en la carpeta del usuario HUGO. (mas retos)
Buscando mas información sobre el CMS resulta que tiene un archivo users.php que puede ser útil para continuar con la explotación.
Rabian 2 carpetas con bludit, asi que encontre varios hash en los archivo users.php
Crackeando los hashes encontré 2 posibles contraseñas y probando me funciono la de hugo.
Ahora que tenemos acceso veamos el archivo user.txt, pero aun nos falta subir privilegios para tener root.
Revisemos los permisos que tenemos con sudo, podemos notar que hay cierta configuración que tal vez podamos aprovechar.
Buscando en google ese tipo de sintaxis de permisos de sudo me tope con un exploit para hacer bypass.
Excelente tenemos un exploit para poder hacer un bypass y tener privilegios de root.
Ahora solo vemos el contenido del archivo root.txt y terminamos este BOX
Este reto si que fue el mas largo, por tratar de conseguir la contraseña del portal, no es una palabra que se encuentre en cualquier diccionario o wordlist.
Happy Hacking.
