🛰️
Config-17 Space
  • 1️⃣Introducción
  • 👨‍💻¿Quien soy?
  • 👨‍🎓Recomendaciones de cursos y formación
  • 🤖Máquinas
    • 📦Hack The Box
      • 👨‍🏫Introducción a HTB
      • 🐧HTB Linux
        • Easy
          • 🏳️Irked
          • 🏳️Squashed
          • 🏳️OpenAdmin
          • 🏳️Late
          • 🏳️Teacher
        • Medium
          • 🏁Investigation
          • 🏁BroScience
      • 🪟HTB Windows
        • Easy
          • 🏳️Bastion
          • 🏳️Artic
          • 🏳️Active
          • 🏳️Optimum
          • 🏳️Granny
          • 🏳️Grandpa
          • 🏳️Devel
        • Medium
          • 🏁Fuse
          • 🏁Jeeves
      • ♨️HTB Other OS
        • 🏁Schooled
    • 💻Máquinas Locales
      • 🥷Metasploitable 2
      • 🐝Bee Box bWAPP
      • 🕸️DVWA
Con tecnología de GitBook
En esta página
  • 1. Enumeración y descubrimiento
  • 2. Escalada de privilegios

¿Te fue útil?

  1. Máquinas
  2. Hack The Box
  3. HTB Linux
  4. Easy

Teacher

AnteriorLateSiguienteMedium

Última actualización hace 2 años

¿Te fue útil?

Datos
Notas

Nombre de la máquina:

IP de la máquina:

10.10.10.253

Sistema simulado:

Debian

Servicio vulnerado:

Moodle 3.9

CVEs:

1. Enumeración y descubrimiento

Comenzamos el ejercicio lanzando un nmap a la IP 10.10.10.153

Y buscamos la web en el navegador accediendo a un portal de un instituto.

Revisando el código de la web nos encontramos que existe un mensaje extraño dentro del código.

Al intentar entrar en la imagen nos encontramos que no podemos acceder.

Seguimos indagando y encontramos que no es una imagen realmente, lanzamos un curl a la web y encontramos el siguiente mensaje.

Accedemos a Moddle y descubrimos que Giovanni es un profesor con un curso de algebra. Lo primero que vamos a hacer por ello es generar un diccionario que cumpla las características que marca en el mensaje.

Utilizaremos el proxy de burpsuite para capturar la petición e insertar por fuerza bruta el diccionario de contraseñas que tenemos hasta dar con cual es la necesaria.

Tras hacer eso encontramos que la contraseña correcta es “Th4C00lTheacha#”. Con esto iniciamos sesión como el usuario de “Giovanni Chhatta”.

En este punto nos aprovecharemos del CVE 2018-1133 para conseguir acceso. Para ello crearemos un Quiz y lo editaremos añadiendo una pregunta de cálculo en la que pondremos como respuesta a la fórmula “/*{a*/`$_GET[0]`;//{x}}`”.

Al inyectar encodear el comando e inyectarlo en la URL, conseguimos generar una conexión con el netcat que tenemos desplegado en la IP 1337.

No podemos acceder con el usuario www-data al directorio home de Giovanni, por lo que se requiere más información para conseguir elevar privilegios. Buscamos en el archivo config.php de Moodle, en el cual es posible encontrar algunos usuarios y contraseñas.

Con esto podremos iniciar sesión como Giovanni pudiendo ver la flag del usuario.

2. Escalada de privilegios

En este punto tendremos que conseguir acceder a la máquina como root. Empezamos inspeccionando el directorio home de Giovanni, en concreto con el directorio “work”.

Tras analizar el archivo /usr/bin/backup.sh nos damos cuenta de que existe un script recursivo que proporciona permisos a una carpeta. Por ello lo que hacemos es mover los cursos a nuestra carpeta work y dentro de ahí conseguir vincularla a root adquiriendo permisos mediante el script. Con ello podremos ver la flag de root.

Buscaremos iniciar sesión con esa contraseña como root en la base de datos y consultamos la base de datos de usuarios obteniendo el hash de la contraseña y con obtendremos la contraseña “expelled”.

Si te he ayudado sígueme y apóyame en

🤖
📦
🐧
🏳️
crackstation
Hack The Box
Teacher
CVE 2018-1133