Posts

HackTheBox - TombWatcher

📅 Oct 11, 2025 · ✍️ sckull

netexec bloodhound GenericAll Addself WriteSPN ForceChangePassword WriteOwner targetedKerberoast gMSADumper shadow-credential-attack certipy deleted-user ESC15 LDAPS

TombWatcher con un enfoque en Active, inicia con la enumeracion y analisis de informacion recolectada para Bloodhound, donde se muestra una ruta desde un usuario inicial hasta uno con permisos a WinRM. Se logro el acceso a este ultimo a traves de la explotacion de permisos, usuarios y grupos. Se restauro un usuario administrador eliminado el cual nos permitio escalar privilegios a traves de la explotacion de una plantilla vulnerable a ESC15.

HackTheBox - Certificate

📅 Oct 4, 2025 · ✍️ sckull

exiftool bypass-upload-zip null-byte hashcat pcap wireshark Krb5RoastParser bloodhound genericall shadow-credential-attack certipy-ad SeManageVolumePrivilege golden-certificate-attack certutil impacket-secretsdump ESC3

En Certificate realizamos Bypass a un filtro en el sitio web para la subida de archivos a traves de un archivo ZIP para el acceso inicial. Credenciales en la base de datos del sitio permitieron obtener acceso a un primer usuario. Con los permisos de este ultimo realizamos Shadow Credential Attack para obtener acceso a dos usuarios. Uno de estos usuarios tenia el permiso SeManageVolume el cual explotamos lo que nos dio acceso al Certificate Authority (CA), utilizamos este para realizar Golden Certificate Attack para escalar privilegios.

HackTheBox - Puppy

📅 Sep 27, 2025 · ✍️ sckull

kerbrute ldap smb winrm evil-winrm nfs showmount bloodhound-ce GenericWrite net-rpc smbclient keepass keepass4brute.sh GenericAll pth-net bloodyAD ACCOUNTDISABLE smbserver windows-credentials-manager dpapi secretsdump

Puppy inicia con el analisis de informacion en bloodhound identificando usuarios, permisos y grupos explotables. Aprovechando estos se logro acceder a un recurso SMB que contenia un backup de KeePass, donde se extrajeron credenciales validas para un segundo usuario. Los permisos de este ultimo permitieron acceso por WinRM a un tercer usuario. Se encontro un backup de un sitio web que contenia credenciales para otro usuario. Finalmente, se obtuvieron credenciales locales protegidas por DPAPI de un usuario administrador, lo que permitio escalar privilegios.

HackTheBox - Fluffy

📅 Sep 20, 2025 · ✍️ sckull

netexec bloodhound-ce GenericWrite GenericAll CVE-2025-24071 .library-ms responder pth-net certipy-ad shadow-credential-attack evil-winrm ESC16

Fluffy inicia con la enumeracion de recursos SMB para acceder a un PDF que documenta vulnerabilidades del sistema. Una de ellas permitio filtrar un hash NTLM a traves de un archivo .library-ms comprimido. El analisis con Bloodhound muestra permisos GenericAll y GenericWrite para un usuario, lo que permitio realizar Shadow Credentials attack a multiples usuarios para acceso por WinRM. Finalmente se identifico y exploto una plantilla vulnerable ESC16 para escalar privilegios.

HackTheBox - Planning

📅 Sep 13, 2025 · ✍️ sckull

ffuf grafana Grafana-v11.0 CVE-2024-9264 docker cronjob crontab-ui

En Planning iniciamos con la enumeracion de subdominios para descubrir Grafana vulnerable para la lectura de archivos y ejecucion remota de comandos, esto permitio el acceso a un contenedor de docker. Credenciales en las variables de entorno dieron acceso por SSH. Escalamos privilegios con la ejecucion de un cronjob como root en la interfaz cronjob-ui.

HackTheBox - Environment

📅 Sep 6, 2025 · ✍️ sckull

laravel laravel-debug unisharp-laravel-filemanager CVE-2024-52301 code-injection CVE-2024-21546 gpg BASH_ENV

Environment expone una aplicacion Laravel en modo debug, esto permitio conocer la logica de autenticacion de un valor en la variable de entorno y, con una vulnerabilidad que permite realizar cambios a este logramos el acceso. Tambien, descubrimos un manejador de archivos vulnerable a code injection que posteriormente nos dio acceso inicial. Las claves privadas GPG y un archivo encriptado facilitaron las credenciales para un segundo usuario. Escalamos privilegios con un comando que mantiene el valor de BASH_ENV para la ejecucion de comandos como root.

HackTheBox - Eureka

📅 Aug 30, 2025 · ✍️ sckull

spring-boot actuators heapdump-springboot eclipse-mat OQL java eureka-server netflix-eureka traffic-hijack pspy eureka-api eq-is-evil

Eureka corre una aplicacion SpringBoot donde obtuvimos un volcado de memoria que contenia credenciales para acceso inicial. Descubrimos Netflix Eureka donde realizamos Traffic Hijack a una instancia que aceptaba credenciales desde un cronjob, estas permitieron el acceso a un segundo usuario. Finalmente escalamos privilegios tras analizar un script en bash ejecutado por root.

HackTheBox - TheFrizz

📅 Aug 23, 2025 · ✍️ sckull

Gibbonv25 lfi php php-fopen mysql chisel netexec bloodhound-python impacket-getTGT ssh-kerberos backup wapt password-spraying GPO-abuse evil-GPO SharpGPOAbuse mimikatz hashcat

TheFrizz corre Gibbon con una version vulnerable que tras un analisis de codigo logramos la ejecucion de comandos. Realizamos Port Forwarding para acceder al puerto de la base de datos y obtener credenciales en esta que permitieron ingresar por SSH mediante Kerberos. Descubrimos una contrasena dentro de un backup para el acceso a un segundo usuario. Este ultimo, pertenece al grupo 'Group Policy Creator Owners' por lo que creamos un objeto 'vulnerable' para luego con SharpGPOAbuse ejecutar comandos que finalmente nos dio acceso como administrador.

HackTheBox - Nocturnal

📅 Aug 16, 2025 · ✍️ sckull

odt ffuf sqlite netexec command injection crlf-injection ISPConfig CVE-2023-46818

Nocturnal expone un sitio web para administar archivos donde realizamos la enumeracion de usuarios y archivos. Entre estos encontramos una contrasena que nos dio acceso al dashboard de administracion. Logramos acceder a la maquina mediante el backup del sitio y Command Injection en la creacion de un backup. Finalmente escalamos privilegios tras explotar una vulnerabilidad en ISPConfig.

HackTheBox - Code

📅 Aug 2, 2025 · ✍️ sckull

Python python-bypass render_template_string json backup sqlite flask

Code corre un editor de codigo Python donde realizamos bypass a un filtro para la ejecucion de comandos y obtener acceso a la maquina. Tras la lectura de hashes en la base de datos SQLite accedimos por el servicio SSH. Finalmente escalamos privilegios tras modificar el archivo de configuracion para la creacion de backups de backy logrando leer y acceder a archivos como root y posteriormente acceso por SSH.