Skip to main content
HackTheBox machines – Driver WriteUp

HackTheBox machines – Driver WriteUp

Driver es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Windows

Driver es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Driver 10.10.11.106 a /etc/hosts como driver.htb y comenzamos con el escaneo de puertos nmap.

Una vez escaneados los puertos vamos a verificar cada servicio.

 

Enumeracion

En primer lugar verificamos el portal web en el puerto 80, la cual nos pide unas credenciales. En el anterior escaneo vimos que indicaba el nombre de usuario admin así que probamos con la password admin y entramos al portal web visualizando la siguiente ventana:

HackTheBox machines – Driver WriteUp

 

Se trata de una web de gestión de la impresora, navegamos un poco por la misma pero la única página que cambia es la destinada a la actualización del firmware de la impresora:

 

HackTheBox machines – Driver WriteUp

Por aqui no encontramos nada más, tratamos de enumerar directorios, ficheros, subdominios, vhosts… pero sin éxito. Revisamos también el smb pero parece que tampoco es el punto de acceso:

 

Después de un rato dando vueltas y revisar posibilidades, encontramos una posible forma de continuar y es a través del ataque de ficheros SCF (Shell Command Files) así que vamos a probarlo.

Generamos en primer lugar nuestro fichero scf con el siguiente contenido:

 

Con el fichero generado lanzaremos responder para tratar de capturar datos de los usuarios

Y una vez puesta la escucha subimos el fichero a través del formulario de subida de firmware y obtenemos la respuesta en nuestra escucha

 

Y conseguimos el hash del usuario tony, el cual vamos a tratar de romper con hashcat

 

Con la clave obtenida, accedemos a través de evil-winrm y las credenciales 

 

Obteniendo la flag de user

Y ahora que estamos dentro, vamos al escritorio del usuario y obtenemos la flag

 

Escalado de privilegios

Ahora que ya tenemos la primera flag vamos a buscar formas de elevar permisos.

Probamos en primer lugar a revisar el contenido del portal web a ver si nos da alguna información

Aunque parece ser que aqui no hay nada importante, así que enumeramos el sistema y encontramos un proceso interesante

Hace unos meses salió la vulnerabilidad de nightmare en los driver de impresión de windows y casualmente vemos el proceso utilizado por windows para las colas de impresión

Y hasta aquí, en nuestro caso, hemos probado de dos formas el escalado, debido a que la primera no nos daba un acceso persistente sino que provocaba que se tuviese que ejecutar el exploit cada vez.

Escalado a través de Impacket

En este caso utilizaremos el exploit de la vuln CVE-2021-1675 del usuario cube0x0 de github

En primer lugar verificamos que el servidor es vulnerable a la misma

Y efectivamente lo es, así que vamos a generar nuestro dll malicioso con msfvenom

Posteriormente levantaremos nuestro servidor smb con impacket apuntando a la carpeta donde se encuentre nuestro payload

Y lanzaremos el exploit 

Una vez lanzado el exploit, este descargará el dll malicioso como vemos en nuestro smb

Ejecutará el mismo y automáticamente obtenedremos una shell como system en nuestra escucha

 

Escalado con powershell

Esta segunda opción utiliza la misma vulnerabilidad  CVE-2021-1675, pero el exploit es el realizado por el usuario calebstewart de github

En este caso hay que descargar un exploit en ps1 y subirlo a la máquina y, posteriormente, realizar una serie de pasos en la misma.

Añadiremos la policy de ejecución

Importamos el exploit como un módulo de powershell

Y ejecutamos el exploit de Nightmare para crear nuestro usuario con permisos de administrador

Parece que se ha ejecutado con éxito, así que revisamos los usuarios administradores en el sistema y verificamos que el nuestro tiene permisos de admin

Y sólo nos queda loguearnos en la máquina con el mismo

 

Obteniendo la flag de root

Ahora que ya estamos dentro, sea de una forma u otra, vamos al escritorio del usuario administrator para recoger nuestra flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *