7Rocky

Cross-Site Scripting. Cookie hijacking

Binario de 64 bits. Buffer Overflow. ret2libc

Python internals. Primitiva fake object

Open Redirect. JWKS y falsificación de JWT. Bypass de OTP

HTB UniCTF 2024. Open Redirect. JWKS y falsificación de JWT. Bypass de OTP

Hack The Box. Linux. Máquina fácil. Esta máquina tiene una versión vulnerable de Apache OFBiz que puede explotarse para obtener RCE utilizando un bypass de autenticación y un payload de deserialización en Java. Una vez en la máquina, podemos inspeccionar la base de datos y buscar el hash de la contraseña del usuario administrador. Una vez que el hash está roto, podemos reutilizar la contraseña y obtener acceso como root

Hack The Box. Linux. Máquina insana. Esta máquina expone una aplicación web que permite crear dominios personalizados con código HTML. Además, hay un registro de Docker expuesto en el que podemos descargar blobs de imágenes de Docker después de obtener un token JWT adecuado. La aplicación web ejecuta un archivo WAR con Tomcat, podemos descompilarlo y ver que consulta un servidor RMI. Dado que Tomcat está detrás de un proxy inverso de nginx, podemos acceder a algunos servlets sensibles de Tomcat para modificar nuestra sesión y establecer permisos de administrador en la aplicación web. Necesitamos esto para modificar la configuración de RMI utilizando una vulnerabilidad de asignación en masa y apuntar el servidor RMI a nosotros. Después de eso, podemos explotar una vulnerabilidad de deserialización insegura en Java para obtener RCE en un contenedor. Luego, podemos interactuar con el servidor RMI legítimo utilizando un reenvío de puertos. Este servidor nos permite leer archivos arbitrarios con un ataque de navegación de directorios. Podemos encontrar una contraseña en texto claro para el usuario developer, que se reutiliza en SSH. Luego, root ejecuta un archivo JAR para analizar archivos del sitio web de hosting enviándolos a un servidor ClamAV. El problema aquí es que el JAR llama a las funciones del registro RMI, que se reinicia periódicamente. Por lo tanto, podemos elaborar un registro de RMI malicioso y una explotación para ganar una condición de carrera y ocupar el puerto, de modo que root consulte nuestro servidor ClamAV falso. El resultado será que todos los archivos en /root se pondrán en cuarentena dentro de un directorio legible, lo cual conduce a la escalada de privilegios

Hack The Box. Linux. Máquina fácil. Esta máquina tiene una aplicación web que es vulnerable a SSRF, que puede usarse para leer el contenido de un servidor interno, que es vulnerable a inyección de comandos. Las dos vulnerabilidades se pueden encadenar para obtener RCE en la máquina. El usuario de bajos privilegios puede ejecutar systemctl como root usando sudo, lo que conduce a la escalada de privilegios a través de less

Hack The Box. Linux. Máquina fácil. Esta máquina tiene un sitio web que expone un repositorio de Git. Podemos extraer el código fuente en PHP de la aplicación web y descubrir que usa ImageMagick por detrás para procesar imágenes subidas. La versión de ImageMagick tiene una vulnerabilidad de lectura de archivos locales que se puede usar para leer un archivo de base de datos SQLite y encontrar una contraseña en texto claro para emily, que también se usa en SSH. Después de eso, encontramos que root ejecuta un script en Bash que usa binwalk para eliminar malware de los archivos de imagen subidos. La versión de binwalk es vulnerable a ejecución remota de comandos, lo que conduce a la escalada de privilegios

Hack The Box. Linux. Máquina media. Esta máquina tiene un sitio web que permite cifrar, descifrar y verificar firmas con PGP. El sitio web es vulnerable a SSTI en Flask, que es la forma de acceder a la máquina como atlas. Sin embargo, este entorno es limitado debido a firejail, pero podemos encontrar una contraseña en texto claro para entrar como silentobserver por SSH. Como este usuario, podemos modificar un proyecto de Rust que se utiliza en otro proyecto de Rust que se ejecuta periódicamente como atlas. Con este poder, podemos obtener acceso como atlas nuevamente, pero fuera de firejail. Finalmente, dado que firejail es un binario SUID, podemos usar un exploit público para convertirnos en root