Facts: Um Guia Completo para Superar a Máquina do HackTheBox
Este artigo detalha o processo de conquista da máquina 'Facts' no HackTheBox, explorando vulnerabilidades em um CMS desatualizado, credenciais AWS S3 e escalonamento de privilégios via sudo.
MundiX News·30 de junho de 2026·7 min de leitura·👁 1 views
A máquina 'Facts' do HackTheBox apresenta um desafio interessante para entusiastas de cibersegurança, focando em um ambiente Linux com o Camaleon CMS 2.9.0 rodando sob nginx. A exploração começa com a descoberta de uma funcionalidade de auto-registro, que, combinada com uma vulnerabilidade conhecida (CVE-2025-2304), permite que qualquer usuário registrado eleve seus privilégios para administrador do CMS com uma única requisição.
O caminho para a obtenção de privilégios de root é multifacetado. Inicialmente, a análise das configurações de armazenamento de mídia no painel de administração revela credenciais para um bucket AWS S3. A enumeração deste bucket expõe um bucket interno contendo uma chave SSH privada, protegida por uma passphrase que pode ser quebrada com ferramentas de força bruta. A chave SSH, comentada com o nome de usuário 'trivia', concede acesso via SSH, permitindo a obtenção do flag de usuário. O escalonamento de privilégios para root é alcançado através de uma regra sudo sem senha para a utilidade /usr/bin/facter. A opção --custom-dir desta ferramenta permite o carregamento de scripts Ruby arbitrários com privilégios de root, abrindo caminho para a obtenção de um shell bash SUID e, consequentemente, o flag de root.
O processo de Reconhecimento (Recon) envolve a varredura de portas e a análise do código-fonte. A porta 22 revela um serviço SSH (OpenSSH 9.9p1 Ubuntu), enquanto a porta 80 hospeda um site nginx (1.26.3 Ubuntu) que redireciona para o domínio facts.htb. Adicionando este domínio ao arquivo /etc/hosts, a navegação revela um site de imagens e fatos, sugerindo uma Content Management System (CMS). A etapa de fuzzing, utilizando ferramentas como ffuf com um dicionário robusto, confirma a presença de diretórios como /admin, /rss, /sitemap, /index, /search, /en, /page, /welcome, /post, e /ajax. A tentativa de acesso à área administrativa (/admin) resulta em um redirecionamento, indicando a necessidade de autenticação. A criação de uma nova conta e o login subsequente na área administrativa confirmam o uso do Camaleon CMS versão 2.9.0. A busca por vulnerabilidades associadas a esta versão leva à descoberta do CVE-2025-2304 no GitHub, que permite a escalada de privilégios de um usuário comum para administrador do CMS através de um script Python. Após obter privilégios de administrador, a exploração continua na seção de configurações do site, onde são encontradas credenciais para um armazenamento em nuvem da Amazon (AWS S3). Utilizando a ferramenta awscli, é possível listar os buckets S3 e descobrir um bucket interno (internal) que contém uma chave SSH privada. A quebra da passphrase da chave SSH com john e ssh2john, utilizando o wordlist rockyou.txt, revela a passphrase e o nome de usuário ('trivia'). Com a chave SSH e o nome de usuário, o acesso via SSH é estabelecido, permitindo a leitura do flag de usuário (user.txt) no diretório /home/william. Finalmente, a verificação das permissões sudo para o usuário trivia revela que ele pode executar /usr/bin/facter sem senha. Explorando a vulnerabilidade no facter com a opção --custom-dir, um script Ruby é criado para conceder o bit SUID ao /bin/bash. A execução do /bin/bash -p com privilégios elevados permite a obtenção do flag de root (root.txt).
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A máquina 'Facts' do HackTheBox apresenta um desafio interessante para entusiastas de cibersegurança, focando em um ambiente Linux com o Camaleon CMS 2.9.0 rodando sob nginx. A exploração começa com a descoberta de uma funcionalidade de auto-registro, que, combinada com uma vulnerabilidade conhecida (CVE-2025-2304), permite que qualquer usuário registrado eleve seus privilégios para administrador do CMS com uma única requisição.
O caminho para a obtenção de privilégios de root é multifacetado. Inicialmente, a análise das configurações de armazenamento de mídia no painel de administração revela credenciais para um bucket AWS S3. A enumeração deste bucket expõe um bucket interno contendo uma chave SSH privada, protegida por uma passphrase que pode ser quebrada com ferramentas de força bruta. A chave SSH, comentada com o nome de usuário 'trivia', concede acesso via SSH, permitindo a obtenção do flag de usuário. O escalonamento de privilégios para root é alcançado através de uma regra sudo sem senha para a utilidade /usr/bin/facter. A opção --custom-dir desta ferramenta permite o carregamento de scripts Ruby arbitrários com privilégios de root, abrindo caminho para a obtenção de um shell bash SUID e, consequentemente, o flag de root.
O processo de Reconhecimento (Recon) envolve a varredura de portas e a análise do código-fonte. A porta 22 revela um serviço SSH (OpenSSH 9.9p1 Ubuntu), enquanto a porta 80 hospeda um site nginx (1.26.3 Ubuntu) que redireciona para o domínio facts.htb. Adicionando este domínio ao arquivo /etc/hosts, a navegação revela um site de imagens e fatos, sugerindo uma Content Management System (CMS). A etapa de fuzzing, utilizando ferramentas como ffuf com um dicionário robusto, confirma a presença de diretórios como /admin, /rss, /sitemap, /index, /search, /en, /page, /welcome, /post, e /ajax. A tentativa de acesso à área administrativa (/admin) resulta em um redirecionamento, indicando a necessidade de autenticação. A criação de uma nova conta e o login subsequente na área administrativa confirmam o uso do Camaleon CMS versão 2.9.0. A busca por vulnerabilidades associadas a esta versão leva à descoberta do CVE-2025-2304 no GitHub, que permite a escalada de privilégios de um usuário comum para administrador do CMS através de um script Python. Após obter privilégios de administrador, a exploração continua na seção de configurações do site, onde são encontradas credenciais para um armazenamento em nuvem da Amazon (AWS S3). Utilizando a ferramenta awscli, é possível listar os buckets S3 e descobrir um bucket interno (internal) que contém uma chave SSH privada. A quebra da passphrase da chave SSH com john e ssh2john, utilizando o wordlist rockyou.txt, revela a passphrase e o nome de usuário ('trivia'). Com a chave SSH e o nome de usuário, o acesso via SSH é estabelecido, permitindo a leitura do flag de usuário (user.txt) no diretório /home/william. Finalmente, a verificação das permissões sudo para o usuário trivia revela que ele pode executar /usr/bin/facter sem senha. Explorando a vulnerabilidade no facter com a opção --custom-dir, um script Ruby é criado para conceder o bit SUID ao /bin/bash. A execução do /bin/bash -p com privilégios elevados permite a obtenção do flag de root (root.txt).
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
