<- HTB

Vessel


16 minutos de lectura

Vessel
Hack The Box. Linux. Máquina difícil. Esta máquina tiene un sitio web que expone un repositorio de Git. Aquí podemos leer el código fuente de la aplicación web y encontrar una manera de saltarnos la autenticación en MySQL con Type Juggling. Luego, encontramos otro subdominio que tiene un exploit público para obtener RCE. Después de eso, descubrimos una herramienta de generación de contraseñas en la que se puede aplicar ingeniería inversa para generar múltiples contraseñas y romper un documento PDF protegido por contraseña. Luego, obtenemos acceso a través de SSH y vemos que podemos usar sysctl como root con pinns como binario SUID. Con esto, podemos modificar la configuración del kernel para ejecutar un script arbitrario cuando un programa da un error de violación de segmento, lo que conduce a la escalada de privilegios