Skip to main content
HackTheBox machines - Blackfield WriteUp

HackTheBox machines – Blackfield WriteUp

Blackfield es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox.

Blackfield es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Difícil.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Blackfield 10.10.10.192 a /etc/hosts como blackfield.htb y comenzamos con el escaneo de puertos nmap.

Encontramos varios puertos interesantes así que procedemos con la enumeración de los mismos.

 

Enumeración

Procedemos entre otras cosas a enumerar el servicio SMB, con la idea de intentar obtener información de los directorios compartidos existentes:

Y obtenemos un listado de usuarios en la carpeta profiles$, así que generamos un listado de usuarios con los mismos.

Realizaremos también una enumeración de ldap para intentar obtener más información del dominio:

Descubierto el dominio y, con el listado de usuarios generado, utilizamos la herramienta GetNPUsers de impacket para intentar obtener algún hash:

Y conseguimos el hash del usuario support. Utilizaremos John The Ripper para intentar descifrar la password del mismo:

Y obtenemos la misma:

Con las credenciales obtenidas intentamos obtener más información del dominio y de los usuarios existentes. Utilizaremos bloodhound-python para obtener más información del mismo:

 

Con la información obtenida, descubrimos que podemos resetear el password del usuario audit2020 con el usuario support así que procedemos a realizar el mismo a través de la conexión por rpc:

Una vez reseteada, verificamos el acceso con CrackMapExec y vemos que podemos acceder a smb con este usuario:

Así que utilizaremos smbmap para comprobar donde tenemos acceso con este usuario:

Y observamos que tenemos acceso a la carpeta forensic, a la cual no teníamos anteriormente. Procedemos a descargarnos los ficheros existentes y observamos que se trata de varios ficheros de crash dumps de windows, entre los que encontramos uno muy interesante, lsass.zip:

Extraemos el contenido del fichero zip y trataremos de obtener las credenciales con la herramienta pypykatz:

En este caso sólo vemos una pequeña parte del contenido obtenido, pero vemos como nos devuelve el hash del usuario svc_backup que utilizaremos posteriormente para loguearnos en el sistema.

 

Obteniendo la flag de user

Con el hash obtenido, accedemos con la herramienta evil-winrm:

Y estamos dentro de la máquina, consiguiendo con ello la flag de user.

 

Escalado de privilegios

Una vez que estamos dentro, revisamos los permisos del usuario:

Y encontramos dos permisos muy interesantes, SeBackupPrivilege y SeRestorePrivilege.

Revisando en google, encontramos una forma de poder realizar un backup y conseguir los ficheros que necesitamos con la herramienta diskshadow.

Aunque antes de poder hacer esto necesitamos editar los permisos del sistema para poder leer ciertos ficheros para los cuales no tenemos permisos, para ello haremos uso de las acl de windows para cambiar el propietario de los ficheros del sistema.

Y ejecutaremos los siguientes comandos:

Una vez hemos establecido los permisos, generaremos nuestro fichero diskshadow.txt con el siguiente contenido:

Y ejecutaremos el mismo para realizar el backup:

Ahora nos queda acceder al disco z creado con nuestra copia y obtener el fichero ntds.dit:

Para obtener los hashes necesitaremos también el fichero system, así que haremos una copia desde el registro de windows:

Y ahora obtendremos los hashes de los usuarios con la tool de impacket secretsdump:

Y conseguiremos las claves de todos los usuarios.

 

Obteniendo la flag de root

Obtenidos los hashes, sólo nos queda acceder al sistema como admin:

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace https://www.hackthebox.eu/home/users/profile/103792

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.