Skip to main content
HackTheBox machines – Authority WriteUp

HackTheBox machines – Authority WriteUp

Authority es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Windows

Authority es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Authority 10.129.10.193 a /etc/hosts como authority.htb y comenzamos con el escaneo de puertos nmap.

 

Una vez hecho el escaneo rápido, vamos a hacer uno más completo sobre los puertos descubiertos

 

Enumeración

Comenzamos la enumeración revisando los directorios compartidos en el smb

 

Tenemos acceso al disco Development así que vamos a descargarnos todo su contenido con smbget

 

Revisamos en detalle los ficheros existentes y obtenemos unos hashes de ansible vault en el fichero main.yml

 

Buscando en google encontramos un post donde explica como romper estos hashes.

Para ello necesitaremos instalar ansible-vault, si no lo tenemos ya

Guardamos cada hash en un fichero independiente y desciframos los 3

 

Y tenemos ya 3 posibles claves, el siguiente paso será acceder al portal web en el puerto 8443, donde vemos el siguiente formulario de login

HackTheBox machines – Authority WriteUp

Vamos a la sección de configuración y conseguimos saltar la restricción con una de las passwords descubiertas

HackTheBox machines – Authority WriteUp

 

Descargamos el fichero de configuración y editaremos el mismo, sustituyendo la siguiente línea

Por esta otra

De esta forma provocamos que la aplicación consulte contra nuestro servidor ldap en lugar del configurado localmente para la aplicación. Así vamos a tratar de provocar que se intente autentificar contra el mismo y conseguir el hash ntlm del usuario que sirve la aplicación.

Levantamos responder y guardamos los cambios

Y a los pocos segundos obtendremos las claves del usuario svc_ldap

 

Obteniendo la flag de user

Conectamos a la máquina con las claves obtenidas y obtenemos la flag de user

 

Escalado de privilegios

Enumeramos el servidor y encontramos un directorio interesante en la raíz

 

Y dentro del directorio Certs, encontramos un certificado pfx utilizado, según el nombre, en el servidor LDAP

 

Es posible que disponga de alguna plantilla de certificado vulnerable, a través de la cual podamos escalar privilegios, podemos ver como conseguir esto en un post que explica el ataque de templates vulnerables.

Así que para probar si es vulnerable descargamos la tool de Certipy

Ejecutamos y encontramos una plantilla vulnerable

 

Revisando la plantilla es posible crear certificados sólo para equipos en el dominio, así que añadiremos uno con la herramienta addcomputer de impacket.

 

El siguiente paso será solicitar un certificado aprovechando la plantilla vulnerable

 

En este caso, la autenticación por certificado, no funciona con certipy así que vamos a realizarla utilizando otra técnica.

Obtenemos el certificado y la key del pfx generado

Y utilizaremos la herramienta PassTheCert para añadir al usuario svc_ldap al grupo de administradores

 

Una vez realizado, revisamos los permisos del usuario y vemos que estamos en el grupo de administradores

 

Obteniendo la flag de root

Así que teniendo permisos, vamos a por la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *