creep33

creep33

OSCP, BSCP, OSWP, eJPT
Cybersecurity Analyst && Pentester

HTB-Bank

IP -> 10.10.10.29

Reconocimiento

Nmap

Utilizamos nmap y obtenemos los siguientes resultados.

Bank Nmap Result

http

whatweb

Utilizamos whatweb para extraer informacion pero no obtenemos ninguna información relevante.

Virtual Hosting

Probamos a ver si se está realizando virtual hosting. Con el dominio “bank.htb”.

Añadimos en dominio “bank.htb” al /etc/hosts

bank.htb

Vemos un panel de inicio de sesión. Probamos credenciales por defecto pero no conseguimos nada.

Fuzzing

Fuzzeamos el servicio http con herramientas como wfuzz o gobuster. Y obtenemos los siguientes resultados.

/uploads -> 403 /assets -> Unrelevant directories /inc -> 4 php scripts /balance-transfer -> Lots of .acc files.

Vamos a filtrar para ver si hay algun fichero que pese un valor que se sale de la media en /balance-transfer

curl -s -X GET "http://bank.htb/balance-transfer" | grep -oP '[a-z0-9]{32}\.acc.*"right".+\s' | awk '{print $1 "->" $7}' FS=">" | tr -d '"' | sort -k3 -n

68576f20e9732f1b2edc4df5b8533230.acc-> 257 USER: cris\@bank.htb PASS: !##HTBB4nkP4ssw0rd!##

Iniciamos sesión en el panel de inicio de sesión.

Panel de “Support”

Nos permiten subir un archivo al reportar un ticket. Probamos a hacre un ticket de prueba. Y nos reporta que solo podemos subir imágenes. Al subir una imágen vemos que el directorio /uploads es donde se almacenan las imágenes.

  • Tratamos de subir un archivo php ya que la página funciona con php.

Pero nos reporta que tenemos que subir imágenes.

Burpsuite

Utilizaremos Burpsuite para analizar como se tramite la data. Al realizar la petición vemos que en la respuesta, hay un comentario que dice que los archivos .htb lo interpreta con php.

  • Subimos un script en php con extensión htb

WebShell

Nos enviamos una reverse shell.

Domain

Probamos un ataque de transferencia de zona con la herramienta dig sobre el dominio “bank.htb” ya que es un convenio de HTB.

DNS: chris.bank.htb -> No vemos nada nuevo

PrivEsc

OS

whoami
hostname -I
cd /home
ls
cd chris
ls
cat user.txt

user.txt

cd /
find \-perm -4000 2>/dev/null

./var/htb/bin/emergency -> Binario compilado de 32 bits SUID

/var/htb/bin/emergency

Lo ejecutamos y somos root

cd /root
cat root.txt

root.txt

Alt-way

Otra forma de escalar privilegios sería modificar el archvo /etc/passwd ya que “otros” pueden editar el archivo para incrustarle una contraseña a root. Ex:

Escrito el 28-12-2021 a las 05:47 pm por creep33.

Tags:

Categories:

Updated: