Write Up Union.

in Road to OSCP. on Medium, Genin, Linux, HTB, SQLi, RCE, SUDO, PHP, Custom, Web, Common-Applications, SQL, OS-Command-Injection, eJPTv2, eWPT
Write Up Union.
  1. Reconnaissance
    1. nmap
    2. Services and Versions
  2. Vulnerability Analysis
    1. HTTP TCP-80
  3. Explotation

Reconnaissance

nmap

nmap -p- --open --min-rate 5000 -n -vvv -Pn 10.10.11.128 -oA allports

list

Services and Versions

nmap -p80 -sV -sC 10.10.11.128 -oN target

list

Vulnerability Analysis

HTTP TCP-80

Uso de Investigacion web, Google Hacking,Google Dorks y recopilación de información gracias a servicios de terceros.e ispeccionamos la web, ademas de las tecnologias de la ip ataves de la terminal o via web esto lo hacemos con wapalizzer o whatweb.

list

En el 80 no encontramos nada interesante.

Tambien podemos fuzzear los directorioso subdominios pero como nos emcontramos con una web que nos permite la entrada de datos podemos primero probar otrsos posibles ataques como XSS ,SQLinjection.

list

list

Empezamos a probar distintos tipode injecciones SQLi dejare un cheetsheep para ir jugando yo usare burpsuite para tramitar de manera mas eficiente las peticiones.

Como la maquina se llama union uya me da una pista y Haciendo un ' UNION SELECT version() , UNION SELECT database() o ` UNION SELECT user()` , ya obtenemos informacion interesante para hacer nuestras pruebas lo siguiente es hacer cosulta un poquitos, mas complejas como por ejemplo.

' UNION SELECT * FROM flag-- -

list

Lo que nos reporta es la flag que nesitamos para continuar al siguiente nivel.

list

Esto expondra el puerto ssh para conectarnos atraves de el ademas con load _file()-- podemos ver los usuario de la maquina en esta maquina hay tres.

load_file('/etc/passwd')-- -

list

Tambien pordriamos listar la flag del usuario de bajos privileguios con este metodo.

list

De la misma manera podemos husmear mas en los archivos de configuracion de la maquina lo, cual nos topamos con un /var/www/html/config.php que contiene credeciales para conectarnos via ssh que se activo previamente.

list

El usuario es uhc y la pass uhc-11qual-global-pw.

list

Ya podemos buscar la flag de bajos privileguios en el escritorip del usuario uhc .

Explotation

Siempre es bueno ejecutar LimEnum Y pspy para monitorizar y ver los posibles vectores para escalar de privilegios, ademas hasta que se ejecute los anteriores podemos buscar los permisos con el comado find o tareas crond o tareas que esperen ejecucion pero no encontramos nada asi que inspeccionamos los archivos php que no podiamos ver de antes y observamos algo interesante en la cabeceraX-forwarded.

list

Editando la cabecera nos otrogamos permisos SUID a la bash esto se logra ya que el usuario www_data tiene privileguios de sudoers, lo ultimo es buscar la flag de superusuario en el escritorio de root.

🎉 Felicitaciones ya has comprometido Union de HackTheBox 🎉

Back to Certification eJPTv2

Back to Certification eWPT