Command Injection

TwoMillion est une box Linux de difficulté easy qui a été publiée pour célébrer les 2 millions d’utilisateurs sur HackTheBox. La boîte contient une ancienne version de la plateforme HackTheBox qui inclut l’ancien code d’invitation piratable. Après avoir piraté le code d’invitation, un compte peut être créé sur la plateforme. Le compte peut être utilisé pour énumérer divers endpoints d’API, dont l’un peut être utilisé pour élever l’utilisateur au rang d’administrateur. Avec un accès administratif, l’utilisateur peut effectuer une injection de commande sur l’endpoint de génération VPN administrateur, obtenant ainsi un shell sur le système. Un fichier « .env » contient les informations d’identification de la base de données et, grâce à la réutilisation du mot de passe, les attaquants peuvent se connecter en tant qu’utilisateur « admin » sur la box. Le kernel du système s’avère obsolète et CVE-2023-0386 peut être utilisé pour obtenir un shell root.