7Rocky

Hack The Box. Linux. Máquina insana. Esta máquina expone una aplicación web que permite crear dominios personalizados con código HTML. Además, hay un registro de Docker expuesto en el que podemos descargar blobs de imágenes de Docker después de obtener un token JWT adecuado. La aplicación web ejecuta un archivo WAR con Tomcat, podemos descompilarlo y ver que consulta un servidor RMI. Dado que Tomcat está detrás de un proxy inverso de nginx, podemos acceder a algunos servlets sensibles de Tomcat para modificar nuestra sesión y establecer permisos de administrador en la aplicación web. Necesitamos esto para modificar la configuración de RMI utilizando una vulnerabilidad de asignación en masa y apuntar el servidor RMI a nosotros. Después de eso, podemos explotar una vulnerabilidad de deserialización insegura en Java para obtener RCE en un contenedor. Luego, podemos interactuar con el servidor RMI legítimo utilizando un reenvío de puertos. Este servidor nos permite leer archivos arbitrarios con un ataque de navegación de directorios. Podemos encontrar una contraseña en texto claro para el usuario developer, que se reutiliza en SSH. Luego, root ejecuta un archivo JAR para analizar archivos del sitio web de hosting enviándolos a un servidor ClamAV. El problema aquí es que el JAR llama a las funciones del registro RMI, que se reinicia periódicamente. Por lo tanto, podemos elaborar un registro de RMI malicioso y una explotación para ganar una condición de carrera y ocupar el puerto, de modo que root consulte nuestro servidor ClamAV falso. El resultado será que todos los archivos en /root se pondrán en cuarentena dentro de un directorio legible, lo cual conduce a la escalada de privilegios

Hack The Box. Linux. Máquina fácil. Esta máquina tiene una aplicación web que es vulnerable a SSRF, que puede usarse para leer el contenido de un servidor interno, que es vulnerable a inyección de comandos. Las dos vulnerabilidades se pueden encadenar para obtener RCE en la máquina. El usuario de bajos privilegios puede ejecutar systemctl como root usando sudo, lo que conduce a la escalada de privilegios a través de less

Hack The Box. Linux. Máquina fácil. Esta máquina tiene un sitio web que expone un repositorio de Git. Podemos extraer el código fuente en PHP de la aplicación web y descubrir que usa ImageMagick por detrás para procesar imágenes subidas. La versión de ImageMagick tiene una vulnerabilidad de lectura de archivos locales que se puede usar para leer un archivo de base de datos SQLite y encontrar una contraseña en texto claro para emily, que también se usa en SSH. Después de eso, encontramos que root ejecuta un script en Bash que usa binwalk para eliminar malware de los archivos de imagen subidos. La versión de binwalk es vulnerable a ejecución remota de comandos, lo que conduce a la escalada de privilegios

Hack The Box. Linux. Máquina media. Esta máquina tiene un sitio web que permite cifrar, descifrar y verificar firmas con PGP. El sitio web es vulnerable a SSTI en Flask, que es la forma de acceder a la máquina como atlas. Sin embargo, este entorno es limitado debido a firejail, pero podemos encontrar una contraseña en texto claro para entrar como silentobserver por SSH. Como este usuario, podemos modificar un proyecto de Rust que se utiliza en otro proyecto de Rust que se ejecuta periódicamente como atlas. Con este poder, podemos obtener acceso como atlas nuevamente, pero fuera de firejail. Finalmente, dado que firejail es un binario SUID, podemos usar un exploit público para convertirnos en root

Hack The Box. Linux. Máquina fácil. Esta máquina contiene un sitio web que permite generar ecuaciones con LaTeX. Con esta funcionalidad podemos leer archivos arbitrarios del servidor con técnicas de inyección de LaTeX y encontrar un el hash de una contraseña para otro subdominio. Esta contraseña se reutiliza en SSH. Después de eso, root está ejecutando scripts con gnuplot periódicamente, lo que lleva a la escalada de privilegios

ECDSA. Nonces con bits conocidos. Hidden Number Problem. Reducción de retículo mediante LLL

Server-Side Request Forgery. TOCTOU

Árbol de Merkle. Ataque de segunda preimagen

Binario de 64 bits. Buffer Overflow. vDSO ROP. sys_execve. Reglas seccomp

HTTP Parameter Pollution