<- HTB

Soccer


17 minutos de lectura

Soccer
Hack The Box. Linux. Máquina fácil. Esta máquina contiene una aplicación Tiny File Manager que nos permite cargar y ejecutar PHP, por lo que podemos obtener una reverse shell como www-data. En la máquina, podemos leer la configuración de nginx y encontrar otro subdominio. Este expone un servidor WebSocket que es vulnerable a Boolean-based Blind SQLi. Al explotar SQLi, podemos encontrar credenciales en texto claro que se reutilizan en SSH. Finalmente, el usuario puede ejecutar dstat como root usando doas, y podemos crear un plugin para escalar privilegios