Máquina de Hack the box, nivel principiante.
Explotamos el servicio Metabase a través de Metasploit.
Escalada de privilegios: CVE 2023-2640
Codify
Máquina de Hack the box, nivel principiante.
En esta máquina, a la hora de realizar la escalada de privilegios para convertirnos en el usuario root explotamos un ataque de fuerza bruta contra el script /opt/script/mysql-backup.sh.
Este script olvida poner las comillas simples en la comparativa, dando pie a la extracción de la contraseña utilizando un ataque de fuerza bruta contra esta.
CVE 2023-30547, RCE, Script python fuerza bruta.
Devvortex
Máquina de Hack the box, nivel principiante.
Importante realizar una buena investigación a la hora de realizar la auditoría de los servicios de los equipos.
En esta máquina se puede apreciar el riesgo de no tener los servicios correctamente actualizados lo que puede acarrear.
Ping, Nmap, Wfuzz, Git, Joomla Web Shell, Curl, Hashes, MySQL, SSH, HTTP, apport-cli, john.