Write-ups destacados
CTF
Interstellar C2
Análisis de tráfico de red. Desofuscación de Powershell. Descompilación de C# .NET. Esteganografía. Cifrado AES
CTF
Dream Diary: Chapter 3
Binario de 64 bits. Explotación del heap. Null-byte poison. Overlapping chunks. Tcache poisoning. ROP chain. Reglas
seccomp
CTF recientes
CTF
Picture Magic
Binario de 64 bits. Explotación del heap. Heap feng shui. House of Einherjar. Vulnerabilidad de Format String
HTB recientes
HTB
Bizness
Hack The Box. Linux. Máquina fácil. Esta máquina tiene una versión vulnerable de Apache OFBiz que puede explotarse para obtener RCE utilizando un bypass de autenticación y un payload de deserialización en Java. Una vez en la máquina, podemos inspeccionar la base de datos y buscar el hash de la contraseña del usuario administrador. Una vez que el hash está roto, podemos reutilizar la contraseña y obtener acceso como
root
HTB
RegistryTwo
Hack The Box. Linux. Máquina insana. Esta máquina expone una aplicación web que permite crear dominios personalizados con código HTML. Además, hay un registro de Docker expuesto en el que podemos descargar blobs de imágenes de Docker después de obtener un token JWT adecuado. La aplicación web ejecuta un archivo WAR con Tomcat, podemos descompilarlo y ver que consulta un servidor RMI. Dado que Tomcat está detrás de un proxy inverso de nginx, podemos acceder a algunos servlets sensibles de Tomcat para modificar nuestra sesión y establecer permisos de administrador en la aplicación web. Necesitamos esto para modificar la configuración de RMI utilizando una vulnerabilidad de asignación en masa y apuntar el servidor RMI a nosotros. Después de eso, podemos explotar una vulnerabilidad de deserialización insegura en Java para obtener RCE en un contenedor. Luego, podemos interactuar con el servidor RMI legítimo utilizando un reenvío de puertos. Este servidor nos permite leer archivos arbitrarios con un ataque de navegación de directorios. Podemos encontrar una contraseña en texto claro para el usuario
developer
, que se reutiliza en SSH. Luego, root
ejecuta un archivo JAR para analizar archivos del sitio web de hosting enviándolos a un servidor ClamAV. El problema aquí es que el JAR llama a las funciones del registro RMI, que se reinicia periódicamente. Por lo tanto, podemos elaborar un registro de RMI malicioso y una explotación para ganar una condición de carrera y ocupar el puerto, de modo que root
consulte nuestro servidor ClamAV falso. El resultado será que todos los archivos en /root
se pondrán en cuarentena dentro de un directorio legible, lo cual conduce a la escalada de privilegiosHTB
Sau
Hack The Box. Linux. Máquina fácil. Esta máquina tiene una aplicación web que es vulnerable a SSRF, que puede usarse para leer el contenido de un servidor interno, que es vulnerable a inyección de comandos. Las dos vulnerabilidades se pueden encadenar para obtener RCE en la máquina. El usuario de bajos privilegios puede ejecutar
systemctl
como root
usando sudo
, lo que conduce a la escalada de privilegios a través de less
HTB
Pilgrimage
Hack The Box. Linux. Máquina fácil. Esta máquina tiene un sitio web que expone un repositorio de Git. Podemos extraer el código fuente en PHP de la aplicación web y descubrir que usa ImageMagick por detrás para procesar imágenes subidas. La versión de ImageMagick tiene una vulnerabilidad de lectura de archivos locales que se puede usar para leer un archivo de base de datos SQLite y encontrar una contraseña en texto claro para
emily
, que también se usa en SSH. Después de eso, encontramos que root
ejecuta un script en Bash que usa binwalk
para eliminar malware de los archivos de imagen subidos. La versión de binwalk
es vulnerable a ejecución remota de comandos, lo que conduce a la escalada de privilegiosHTB
Sandworm
Hack The Box. Linux. Máquina media. Esta máquina tiene un sitio web que permite cifrar, descifrar y verificar firmas con PGP. El sitio web es vulnerable a SSTI en Flask, que es la forma de acceder a la máquina como
atlas
. Sin embargo, este entorno es limitado debido a firejail
, pero podemos encontrar una contraseña en texto claro para entrar como silentobserver
por SSH. Como este usuario, podemos modificar un proyecto de Rust que se utiliza en otro proyecto de Rust que se ejecuta periódicamente como atlas
. Con este poder, podemos obtener acceso como atlas
nuevamente, pero fuera de firejail
. Finalmente, dado que firejail
es un binario SUID, podemos usar un exploit público para convertirnos en root