Skip to main content
HackTheBox machines – Analysis WriteUp

HackTheBox machines – Analysis WriteUp

Analysis es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Windows

Analysis es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Difícil.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Analysis 10.129.234.234 a /etc/hosts como analysis.htb y comenzamos con el escaneo de puertos nmap.

Detectados los puertos abiertos lanzamos un escaneo más detallado sobre los mismos

 

Enumeración

Accedemos en primer lugar al portal web del puerto 80 y vemos la siguiente página web

HackTheBox machines – Analysis WriteUp

 

Revisamos la misma pero no vemos gran cosa así que enumeramos directorios, pero nada relevante, procedemos a enumerar subdominios

 

Añadimos el dominio descubierto, internal.analysis.htb al fichero hosts y accedemos y vemos una página similar a la anterior así que procedemos a enumerar ficheros y directorios

 

Vemos varios directorios así que enumeramos cada uno de ellos por separado a ver que encontramos

 

Nos fijamos en uno en concreto, /users/list.php y accedemos a ver que hay

HackTheBox machines – Analysis WriteUp

Nos falta un parámetro, que posiblemente sea un nombre de usuario, así que vamos a enumerar usuarios con kerbrute

Y obtenemos varios usuarios existentes en el sistema por lo que vamos a probar con uno de ellos y varios parámetros manualmente y descubrimos que el parámetro name existe

HackTheBox machines – Analysis WriteUp

Hacemos algunas pruebas y descubrimos que es posible una injección a través de ldap con el siguiente payload

Sabemos la posibilidad debido a que si introducimos un carácter que existe nos devuelve el nombre del usuario, y si este no existe nos aparece el valor CONTACT_, así que hacemos un pequeño script en python para automatizar esta tarea

 

Lo ejecutamos y obtenemos una password

Así que la utilizamos para acceder al portal de login que vimos en la enumeración de ficheros y directorios

Acceso al portal interno

Y entramos con las credenciales descubiertas

Revisión del portal

 

Revisamos el portal y en la sección de “SOC Report” es posible subir ficheros

Subiendo nuestra revshell

 

Así que subimos una revshell en php para windows y obtenemos acceso con el usuario svc_web

 

Escalado al usuario jdoe

Una vez dentro de la máquina utilizamos el script de PrivescCheck para ver que podemos utilizar a continuación para escalar privilegios.

Y en el log vemos una posible vulnerabilidad

 

Así que sacamos las claves del registro y tenemos una password

 

Revisamos los usuarios existentes en el servidor

 

Y utilizamos runas para escalar al usuario jdoe

Obteniendo una revshell con el usuario

 

Obteniendo la flag de user

Una vez que tenemos acceso con el usuario jdoe vamos al escritorio del mismo y cogemos la flag

 

Escalado de privilegios

Revisamos en la raíz del servidor y vemos una carpeta de snort

Así que revisaremos la versión del mismo

Si revisamos en google encontramos una vulnerabilidad a través de la librería tcapi, así que siguiendo el ejemplo de la poc generamos un fichero cpp con nuestro código, en nuestro caso, creamos un usuario nuevo y le damos permisos de admin. Ojo que la máquina está en francés, no os déis de cabezazos como me pasó a mí hasta que me fijé.

Una vez generado nuestro código compilamos el fichero

Revisamos los directorios y vemos que podemos escribir

Así que subimos nuestro dll malicioso

Una vez hecho accedemos al directorio c:\private, el cual está siendo monitorizado, y creamos un fichero pcap vacío

Y automáticamente se habrá ejecutado nuestro código, y veremos el usuario privesc creado en el servidor

 

Por lo que accedemos con el usuario privesc y verificamos los permisos

 

Obteniendo la flag de root

Una vez que tenemos permisos de admin, vamos al escritorio del usuario administrateur y cogemos la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *