Nivel: Easy
Sistema Operativo: Linux
Estado: Activa
Comenzamos con la fase de escaneo:
Investigando el código fuente de la web, vemos un subdominio de la web late.htb:
En la web late.htb tenemos un formulario de contacto:
Vamos a aprovechar una vulnerabilidad SSTI to RCE (Flask/Jinja2) de images.late.htb, subiendo el siguiente código en formato de jpg:
Subimos este fichero a la siguiente web que nos da opción de convertir nuestro txt en jpg y descargarlo en nuestro equipo: cloudconvert.com
Al subirlo a la web images.late.htb, automáticamente nos descarga la clave ssh privada, que tenemos que modificar a mano para que se ajuste al formato, ya que contiene caracteres y saltos de línea, además está todo escrito en una sola línea.
Ahora vamos a hacer lo mismo, pero con el fin de enumerar /etc/passwd y hallar un usuario con el que poder usar la clave id_rsa:
{{(‘’.__class__).__mro__[1].__subclasses__()[249](“cat /etc/passwd”, stdout=-1,shell=True).communicate() }}
Con el mismo proceso que el anterior, conseguimos el siguiente usuario para usar el id_rsa:
Ahora, con el comando ssh svc_acc@late.htb -i id_rsa , nos conectamos directamente a la máquina.
Podemos ver ya la primera flag en /home/svc_acc/Desktop:
Ahora vamos a cargar el script LinPeas para tratar de hallar la forma de elevar privilegios.
Notamos que hay un script llamado «ssh-alert.sh» con permiso de escritura. Este script es originalmente propiedad de root y es ejecutado por cron periódicamente. El script envía una alerta a root cada vez que se produce un inicio de sesión ssh.
Ponemos a la esucha en otro terminal nc -lvnp 9999. Introducimos este conocido comando en el fichero.
Podemos comprobar que recibimos la sesión en el terminal donde teníamos el nc escuchando en el puerto 9999:
En la ruta /root podemos ver la flag root.txt.
Ya tenemos la máquina finalizada.
Un fuerte abrazo.