Write-ups de HackTheBox.
Documentación técnica de máquinas retiradas: reconocimiento, explotación y escalada de privilegios. Solo se publican máquinas en estado retired para cumplir las normas de HackTheBox.
Conversor
Web app que procesa XML+XSLT del usuario con lxml. Como lxml soporta las extensiones EXSLT, `exploit:document` permite escritura arbitraria de ficheros; combinado con un cron que ejecuta todos los .py de un directorio cada minuto se obtiene RCE como www-data. Lateral vía credenciales en SQLite (MD5 crackeado con John) y escalada a root abusando de `sudo needrestart -c` (GTFOBins, config Perl) para crear una bash SUID.
GiveBack
Cadena en cuatro capas — WordPress con GiveWP 3.14.0 vulnerable a CVE-2024-5932 (PHP Object Injection → RCE en pod WP), túnel inverso con Chisel para alcanzar un servicio legacy del clúster Kubernetes, PHP-CGI vulnerable a CVE-2024-4577 (Best-Fit %AD), extracción de secrets vía service account token, y escape final del contenedor abusando del FD leak de runc 1.1.11 (CVE-2024-21626, Leaky Vessels).
AirTouch
Cadena de 22 pasos desde SNMP débil hasta root. Enumeración clásica, entorno Docker con interfaces WiFi virtuales (mac80211_hwsim), cracking de handshake WPA2-PSK, descifrado de tráfico para robar cookies de sesión, RCE vía .phtml en panel de router, y compromiso Enterprise con Evil Twin + MSCHAPv2 + hashcat.
Support
Enumeración de SMB anónimo para extraer credenciales en un binario .NET, movimiento lateral vía LDAP y escalada de privilegios abusando de Resource-Based Constrained Delegation sobre un DC de Active Directory.
Principal
Plataforma Java/Jetty protegida con JWE+JWT (pac4j 6.0.3). El endpoint JWKS es público, lo que permite forjar un token ROLE_ADMIN usando alg:none en el JWT interior. Desde admin se filtran credenciales SSH en texto plano. La escalada aprovecha que el grupo deployers tiene lectura sobre la clave privada de la CA SSH configurada como trusted.
