Volver WRITE-UPS // HTB

Write-ups

Hack The Box · 5 publicados

root@yokonad: ~/htb
MakeSense
Medium Linux

Una clave filtrada en el JS de un WordPress permite un XSS ciego que crea un admin; un plugin malicioso da RCE, y la escalada a root abusa de un servicio OCR interno que corre como root.

wordpressxssrceprivesc
2026-07-07 Leer →
Nexus
Easy Linux

Un repositorio de Gitea filtra una contraseña reutilizada que abre Krayin CRM; una subida sin validar da RCE, y un servicio root vulnerable a path traversal escribe la clave del atacante en el authorized_keys de root.

giteafile-uploadpath-traversalprivesc
2026-07-07 Leer →
TwoMillion
Easy Linux

La API del sistema de invitaciones permite registrarse; un mass assignment promueve la cuenta a admin, un endpoint con inyección de comandos da shell, y la escalada a root usa el CVE-2023-0386 de OverlayFS.

apimass-assignmentcommand-injectioncveprivesc
2026-07-07 Leer →
Enigma
Easy Linux

Un recurso NFS anónimo filtra credenciales de webmail; un OpenSTAManager vulnerable da RCE, se crackea el hash de un usuario del sistema, y se abusa de un OliveTin que corre como root para tomar la máquina.

nfsfile-uploadhash-crackingprivesc
2026-07-07 Leer →
Cap
Easy Linux

Un IDOR en un panel web expone el PCAP de otro usuario con credenciales FTP en texto plano, reutilizables por SSH; la escalada a root se logra con la capability cap_setuid de Python.

webidorpcapcapabilitiesprivesc
2026-07-07 Leer →
LA-RUTA-QUE-SIGO

El mismo mapa en (casi) toda máquina: reconocer, enumerar, entrar y escalar. Así arranco siempre.

1

Reconocimiento

Ojos sobre el objetivo: confirmo que la máquina vive y escaneo todos los puertos con nmap; después lanzo versiones y scripts solo sobre los abiertos.

# 1) ¿está viva? el TTL delata el SO (64 Linux · 128 Windows)
ping -c 1 $IP
# 2) todos los puertos, rápido
sudo nmap -p- --min-rate 2000 -T4 -Pn -n $IP
# 3) versiones + scripts solo sobre los abiertos
sudo nmap -p 22,80,443 -sC -sV -Pn -n $IP
2

Enumeración

Analizo cada servicio, sobre todo la web: rutas, scripts del cliente y componentes hechos a medida, que es donde suele esconderse el fallo.

3

Explotación → foothold

Exploto la vulnerabilidad que encuentro (IDOR, clave filtrada en JS, XSS ciego, subida de archivos, mass assignment…) hasta conseguir la primera shell.

4

Loot & pivote

Saqueo credenciales —casi siempre reutilizadas: wp-config, .env, un PCAP, la base de datos— para saltar a un usuario con sesión y leer user.txt.

5

Escalada a root

Busco el vector: capabilities, binarios SUID, servicios o cron corriendo como root, o un CVE del kernel. Con root, la bandera final.