En este laboratorio, solo tenemos conexión con un host intermedio (10.129.229.147), el cual a su vez tiene acceso a una red interna (172.16.8.0/23). Con Ligolo-ng, podemos crear un túnel desde nuestra máquina hasta ese host para enrutar tráfico y acceder directamente a la red interna no visible, facilitando el pivoting de forma rápida y estable.
Heist es una máquina Windows fácil en HTB. Se obtiene acceso a un portal web que expone hashes de contraseñas de Cisco, los cuales se descifran para realizar un RID bruteforce y password spraying, logrando acceso inicial. Luego, se detecta que un usuario ejecuta Firefox, se extrae el proceso firefox.exe, y dentro de su memoria se encuentra la contraseña del administrador, permitiendo la escalada de privilegios.
Emdee Five For Life es un reto sencillo que requiere que el jugador lea una cadena, la cifre con MD5 y la envíe de vuelta a la instancia remota mediante un script.
Stocker es una máquina Linux de dificultad media con un sitio web en el puerto 80 que anuncia muebles. Mediante enumeración vHost se descubre dev.stocker.htb, que muestra un login en NodeJS vulnerable a inyección NoSQL, permitiendo el acceso a una e-shop. Al generar un pedido, se crea un PDF vulnerable a inyección HTML, lo que permite leer archivos mediante iframes. Se extraen credenciales de index.js, reutilizadas para SSH. La escalada de privilegios se logra explotando un path traversal en un comando con comodín en sudoers, que ejecuta archivos JavaScript.
Keeper es una máquina Linux de dificultad fácil que cuenta con un sistema de tickets de soporte que utiliza credenciales por defecto. Enumerando el servicio, somos capaces de ver las credenciales de texto claro que conducen al acceso SSH. Con el acceso SSH, podemos acceder a un archivo de volcado de la base de datos de KeePass, que podemos aprovechar para recuperar la contraseña maestra. Con el acceso a la base de datos Keepass, podemos acceder a las claves root SSH, que se utilizan para obtener un shell privilegiado en el host.
Stratosphere se centra en el uso de una vulnerabilidad de ejecución de código de Apache Struts que se aprovechó en una brecha a gran escala, lo que resultó en la divulgación de millones de personas' información de crédito.
Tabby es una máquina Linux fácil. La enumeración revela un vhost vulnerable a inclusión de archivos locales, lo que permite leer tomcat-users.xml y obtener credenciales de Tomcat. Se usa la interfaz /manager/text para desplegar un war y ejecutar un webshell, logrando un acceso inicial. Luego, un archivo ZIP protegido se extrae y descifra para obtener credenciales de un usuario con pocos privilegios. Este usuario pertenece al grupo LXD, lo que permite escalar privilegios creando un contenedor privilegiado y montando el sistema de archivos del host, obteniendo acceso root vía SSH.
Grandpa es una de las máquinas más sencillas de Hack The Box, sin embargo cubre la ampliamente explotada CVE-2017-7269. Esta vulnerabilidad es trivial de explotar y concedió acceso inmediato a miles de servidores IIS de todo el mundo cuando se hizo pública.
Toolbox es una máquina Windows fácil con Docker Toolbox instalado. Un contenedor Linux aloja un sitio vulnerable a inyección SQL, lo que permite acceso al contenedor. Luego, las credenciales predeterminadas de Docker Toolbox y el acceso al sistema de archivos del host se explotan para obtener un shell privilegiado en Windows.
Writeup es una máquina Linux fácil con protección contra fuerza bruta. Un CMS vulnerable a inyección SQL permite obtener credenciales. El usuario pertenece a un grupo no predeterminado con acceso de escritura a parte del PATH, lo que permite secuestrar la ruta y escalar privilegios a root.