Pylon
  • 👋intro
    • Sobre mí
  • Writeups
    • HackTheBox
      • TwoMillion
      • Chemistry
      • EvilCups
      • Nibbles
      • Cap
      • PermX
    • PortSwigger
      • OS Command Injection
      • Path Traversal
    • Dockerlabs
      • Upload (Video)
      • WalkingCMS (Video)
      • Eclipse (Video)
      • BorazuwarahCTF
      • ChatMe
    • TheHackersLabs
      • Academy
  • 🗄️Blog
    • Crea tu CTF en Docker
    • Los drivers de NVIDIA no compilan correctamente en Arch Linux
  • 🗃️PoC's
    • 🇬🇧CVE-2021-24145 - Remote Code Execution (Authenticated)
    • 🇬🇧CVE-2023-3452 - Remote File Inclusion - Remote Code Execution - Unauthenticated
    • 🇬🇧Procmail Privilege Escalation
Powered by GitBook
On this page
  • Introducción
  • Enumeración
  1. Writeups
  2. HackTheBox

TwoMillion

PreviousHackTheBoxNextChemistry

Last updated 14 days ago

Introducción

TwoMillion es una máquina de dificultad easy donde nos encontraremos con una API donde nos comunicaremos con ella para obtener un código de invitación que requería al registrarnos, luego abusando de ciertos endpoints de la API configuraremos nuestra cuenta para cambiarla como Administrador abusando de un endpoint de la API. Luego una vez poniendo nuestra cuenta como administrador podremos abusar de un endpoint que unicamente tenían acceso los administrador de regenerar una VPN donde nos solicita un parámetro donde abusaremos de un Command Injection para ganar acceso a la máquina. En la máquina al enumerar podremos encontrarnos con unas credenciales expuestas de la base de datos MySQL donde podremos comprobar que las credenciales expuestas son reutilizadas por el usuario admin existente en el sistema. Luego enumerando el sistema podremos fijarnos que tiene un kernel desactualizado haciéndolo vulnerable al .

Enumeración

Vamos a empezar con un nmap:

┌──(pylon㉿kali)-[~/…/pylon/HTB/TwoMillion/nmap]
└─$ nmap -p- --open -sSCV -n -Pn -vvv 10.10.11.221
PORT   STATE SERVICE REASON         VERSION
22/tcp open  ssh     syn-ack ttl 63 OpenSSH 8.9p1 Ubuntu 3ubuntu0.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 3e:ea:45:4b:c5:d1:6d:6f:e2:d4:d1:3b:0a:3d:a9:4f (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJ+m7rYl1vRtnm789pH3IRhxI4CNCANVj+N5kovboNzcw9vHsBwvPX3KYA3cxGbKiA0VqbKRpOHnpsMuHEXEVJc=
|   256 64:cc:75:de:4a:e6:a5:b4:73:eb:3f:1b:cf:b4:e3:94 (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIOtuEdoYxTohG80Bo6YCqSzUY9+qbnAFnhsk4yAZNqhM
80/tcp open  http    syn-ack ttl 63 nginx
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-title: Did not follow redirect to http://2million.htb/
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

NSE: Script Post-scanning.
NSE: Starting runlevel 1 (of 3) scan.
Initiating NSE at 10:39
Completed NSE at 10:39, 0.00s elapsed
NSE: Starting runlevel 2 (of 3) scan.
Initiating NSE at 10:39
Completed NSE at 10:39, 0.00s elapsed
NSE: Starting runlevel 3 (of 3) scan.
Initiating NSE at 10:39
Completed NSE at 10:39, 0.00s elapsed
Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 43.80 seconds
           Raw packets sent: 67047 (2.950MB) | Rcvd: 65854 (2.634MB)
Puerto
Servicio

22/tcp

OpenSSH 8.9p1

80/tcp

Nginx -> Redirección a http://2million.htb

Vamos a añadir el dominio 2million.htb a nuestro /etc/hosts :

Ahora vamos a acceder a el:

Vamos a hacerle fuzzing:

Podremos ver un directorio de registro, vamos a acceder a el e intentar registrarnos:

Al intentar registrarnos nos comenta:

No tenemos ningún código de invitación, vamos a seguir enumerando a ver que encontramos. En la sección de las DevTools en el Debugger pude encontrar estos archivos JavaScript:

El que más me llama la atención es inviteapi.min.js ya que no tenemos ningún código de invitación, vamos a ver que contiene:

El .min significa que el código esta minificado lo que significa que esta todo en una linea.

Si intentamos leer el código podremos ver lo siguiente:

Voy a pegar el output en un archivo .js en Visual Studio Code:

Código JavaScript
function verifyInviteCode(code)
    {
    var formData=
        {
        "code":code
    };
    $.ajax(
        {
        type:"POST",dataType:"json",data:formData,url:'/api/v1/invite/verify',success:function(response)
            {
            console.log(response)
        }
        ,error:function(response)
            {
            console.log(response)
        }
    }
    )
}
function makeInviteCode()
    {
    $.ajax(
        {
        type:"POST",dataType:"json",url:'/api/v1/invite/how/to/generate',success:function(response)
            {
            console.log(response)
        }
        ,error:function(response)
            {
            console.log(response)
        }
    }
    )
}

Podremos ver 2 endpoints de la API:

  1. /api/v1/invite/verify

  2. /api/v1/invite/how/to/generate

El que más me llama la atención y me interesa para registrarme es saber como generar un código de invitación así que mandaré una petición por POST con curl :

Podremos ver que esta ofuscado en el método packed vamos a deobfuscarlo con :

UnPacker
CVE-2023-0386