HackTheBox - BigBang
· ✍️ sckull
wordpress
wpscan
BuddyForms 2.7.7
CVE-2023-26326
CVE-2024-2961
glibc
wrapwrap
docker
chisel
mysql
hashcat
grafana
sqlite
grafana2hashcat
android
apk
jadx-gui
apktool
ffuf
api
crlf
command injection
python
En BingBang se realizo la explotacion de una vulnerabilidad en GLibc a traves de un plugin de WordPress lo que nos dio acceso a un contenedor de Docker. El acceso a la base de datos de WordPress nos permitio el acceso a un primer usuario. Con este ultimo descubrimos una base de datos de Grafana esto permitio obtener credenciales de un segundo usuario. Finalmente, escalamos privilegios tras el analisis de una aplicacion Android y la explotacion de Command Injection en una API.
