Meetup 4, resolviendo maquina Inject

Resolución en vivo de la máquina Inject de Hack The Box. Abordamos la explotación de un Directory Traversal, inyección SpEL (CVE-2022-22963) en Spring Cloud para RCE, y escalamiento de privilegios abusando de Ansible.

Detalles

En esta sesión de la comunidad, llevé a cabo la resolución paso a paso de la máquina "Inject" de la plataforma Hack The Box, enfocándome en técnicas de ataque a aplicaciones web basadas en Java y la explotación de malas configuraciones en herramientas de automatización de infraestructura. El recorrido técnico de la presentación se dividió en tres fases principales que demostré en vivo: Vulnerabilidad de Lectura de Archivos: Durante la fase de reconocimiento inicial sobre la aplicación web (puerto 8080), identifiqué y exploté una vulnerabilidad de Directory Traversal (LFI / File Read). Esto me permitió enumerar el sistema de archivos subyacente y leer el código fuente de la aplicación para entender su arquitectura. Explotación de Spring Cloud (CVE-2022-22963): Al analizar los archivos de configuración descubiertos (como los del manejador de paquetes Maven), determiné que la aplicación utilizaba SpringBoot con una dependencia vulnerable de Spring Cloud Function. Mediante la manipulación de cabeceras HTTP, ejecuté un ataque de inyección SpEL (Spring Expression Language), logrando Ejecución Remota de Código (RCE) y obteniendo una shell inicial en el servidor como el usuario frank. Posteriormente, mediante la recolección de credenciales en un archivo settings.xml, realicé un movimiento lateral hacia el usuario phil. Escalamiento de Privilegios vía Ansible: Para obtener acceso como administrador (root), audité los procesos internos del sistema utilizando herramientas como pspy para monitorear eventos en tiempo real. Descubrí que existía una tarea programada (cron) que ejecutaba playbooks de Ansible con máximos privilegios. Al detectar que el directorio donde se alojaban estos archivos YAML era escribible, inyecté un playbook malicioso que, al ser procesado por el motor de automatización, me otorgó una shell interactiva como root. Esta charla técnica fue ideal para ilustrar los riesgos críticos de operar con dependencias desactualizadas en ecosistemas Spring/Java y el peligro de no aplicar el principio de menor privilegio en los flujos de trabajo de automatización. Esta fue mi primer meetup que hice solo al 100%, no logré encontrar las diapositivas ni alguna grabación Puedes leer el writeup que hice en https://old.saltacybersecurity.club/inject-writeup-htb/