Skip to main content
HackTheBox machines - Cascade

HackTheBox machines – Cascade WriteUp

Cascade es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox.

Cascade es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad media.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Cascade 10.10.10.182 a /etc/hosts como cascade.htb y comenzamos con el escaneo de puertos nmap.

Detectamos varios puertos abiertos que procedemos a enumerar a continuación.

 

Enumeración

Comenzamos la enumeración con la herramienta enum4linux, donde obtenemos información del dominio, usuarios y grupos del sistema entre otras cosas.

 

Continuamos con la enumeración de ldap, realizamos un primera enumeración para obtener más información del sistema:

 

Conociendo más datos del dominio hacemos una segunda enumeración con ldapsearch, en este caso no pego todo el contenido, pero obtenemos un dato interesante del usuario Ryan Thompson:

En el último campo observamos lo que parece una pasword:

Decodificamos el base64 obtenido y tenemos la password del usuario r.thompson:

Continuamos la enumeración y procedemos a buscar información con smb, descubierto en el escaneo, con las credenciales obtenidas:

Continuamos la enumeración con el directorio Data:

Y encontramos un fichero interesante en la carpeta IT, lo descargamos:

Y revisamos su contenido:

Nos indica que para la migración se utilizó el usuario TempAdmin, cuya password en la misma que dispone el usuario admin de la máquina, por lo que esto puede sernos muy útil más adelante.

Continuamos buscando y encontramos en la carpeta del usuario s.smith otro fichero que descargaremos:

Y cuyo contenido es el siguiente:

 

Encontramos en el mismo unas credenciales en formato hexadecimal, pero parece que al descifrar las mismas no nos dan una contraseña que podamos dar como válida. Buscamos en google con el nombre del fichero y encontramos un repositorio en github donde explica la posibilidad de descifrar las mismas mediante metasploit, así que procedemos a ello para conseguir las mismas en plano:

 

Obteniendo la flag de user

Con las credenciales obtenidas del usuario s.smith en el último paso accedemos a la instancia mediante la herramienta evil-winrm:

Y ya tenemos la flag de user, esta máquina requería de mucha enumeración para lograr este objetivo, pero todavía estamos a mitad de camino.

 

Escalado de privilegios

Ahora nos toca buscar información para conseguir la posibilidad de escalar al usuario Administrator, buscaremos en primer lugar los permisos y grupos de los que dispone el usuario s.smith:

Y nos damos cuenta de que este usuario pertenece al grupo Audit Share, por lo que nos toca volver al smb a ver que podemos encontrar dentro de la carpeta Audit$ que vimos anteriormente pero no teníamos permisos suficientes con el usuario r.thompson.

Revisando en profundidad el contenido del mismo encontramos un fichero llamado Audit.db que descargamos y abrimos. Se trata de una base de datos pero haciendo un cat no podemos obtener mucha información del mismo, vamos a ver antes de nada que tipo de fichero es:

Se trata de un fichero de SQLite3, así que lo importamos en local para poder inspeccionar la base de datos y buscar información relevante en la misma:

Inspeccionamos las tablas existentes en la base de datos y obtenemos la contraseña en base64 del usuario ArkSvc:

Decodificamos el base64 pero parece que algo no ha funcionado bien o, tal vez, no sea el cifrado que creemos:

En este caso di unas cuantas vueltas y al final me dió por buscar en google el hash tal cual y encontré una web donde se encontraba un código en C# y con ello la contraseña descifrada:

HackTheBox machines - Cascade

Y ya tenemos las credenciales de otro usuario más, escalando un poquito más en nuestro objetivo de llegar a admin:

 

Accedemos entonces con el último usuario encontrado a la máquina:

 

Y al igual que en la anterior ocasión vamos a revisar los permisos y grupos de este usuario:

En este caso, el usuario, pertenece al grupo AD Recycle Bin, al cual no pertenecía el anterior y recordamos lo que vimos al principio del usuario TempAdmin que había sido eliminado y tenía la misma password que root así que tal vez tengamos que buscar en la papelera de reciclaje del AD para poder recuperar las credenciales del mismo.

Buscamos información al respecto en google y encontramos varios posts interesantes en google acerca de como acceder a los objetos de la papelera de reciclaje en el AD.

Lo primero de todo será verificar que la misma se encuentra activa:

Y siguiendo la documentación de microsoft de Get-ADObject buscamos los elementos eliminados que todavía se encuentran en la misma:

Encontramos un objeto que seguramente sea el que necesitamos y cuyo nombre es “TempAdmin”, el nombre de usuario que vimos en un fichero del smb durante la enumeración, así que procedemos a restaurar el mismo, pero resulta que no tenemos permisos para ello:

Bueno, parece que esa opción era demasiado obvia, seguimos entonces buscando y procedemos a revisar las propiedades del objeto y…

Ahora sí, observamos un campo en el cual se encuentra una credencial que aparentemente está en base64:

 

Obteniendo la flag de root

Desciframos la password obtenida anteriormente y procedemos a intentar acceder con el usuario Administrator a la máquina:

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respecto en el siguiente enlace https://www.hackthebox.eu/home/users/profile/103792

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *