HackTheBox machines – Escape WriteUp

Escape es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Escape 10.10.11.202 a /etc/hosts como escape.htb y comenzamos con el escaneo de puertos nmap.

Realizamos un primer escaneo rápido para detectar los puertos abiertos

Y continuamos con un escaneo completo sobre los puertos descubiertos

 

Enumeración

Vemos muchos servicios abiertos en el escaneo así que vamos a ir por partes.

Empezaremos revisando el smb, en el cual podemos listar sin necesidad de tener credenciales

Revisamos las unidades existentes y encontramos un pdf en el punto Public, así que procedemos a su descarga

Si abrimos y revisamos el mismo encontraremos información del servidor de base de datos

 

Y encontramos unas credenciales en la segunda página

 

Por lo que indica son las credenciales del servidor de base de datos así que vamos a acceder al mismo.

 

Obtención de credenciales del usuario sql_svc

Nos conectaremos al servidor de sql server con las credenciales existentes en el pdf

Y después de hacer algunas pruebas, vamos a utilizar xp_dirtree para forzar una autenticación y obtener el hash del usuario que gestiona el servidor.

Para ello, en primer lugar, levantaremos un servidor smb para obtener el hash

Y lanzaremos xp_dirtree contra el mismo

Al momento tendremos el hash del usuario sql_svc en nuestro smb

Es el momento de sacar john para romper el hash y obtener las credenciales en plano

Ya tenemos unas credenciales así que vamos a enumerar los usuarios del sistema aprovechando que también se encuentra abierto el puerto de rpc

 

Escalado al usuario Ryan.Cooper

Accedemos al servidor con las credenciales obtenidas y la herramienta evil-winrm

Enumeramos la máquina y revisamos los directorios existentes y encontramos un fichero de log en el directorio SQLServer en la raíz del disco C

Y encontramos unas credenciales en el fichero de log

Así que utilizamos las mismas para conectarnos con el usuario Ryan.Cooper

 

Obteniendo la flag de user

Estando con el usuario Ryan.Cooper, vamos a su escritorio y cogemos la primera flag

 

Escalado de privilegios

Para el escalado de privilegios al usuario Administrator, lanzamos winpeas y encontramos que la autenticación la realiza mediante certificados con kerberos

 

Así que vamos a comprobar si el sistema dispone de plantillas vulnerables que podamos utilizar para la escalada de privilegios. Buscamos en google y encontramos un post que explica como detectar y explotar esta vulnerabilidad.

Enumeraremos los certificados existentes

 

Y utilizaremos la herramienta certipy para verificar si disponde de alguna plantilla vulnerable

 

Y, en efecto, la hay, así que vamos a solicitar un certificado nuevo para el usuario administrator

 

Ahora que ya tenemos un certificado válido, ajustamos la hora de nuestro kali con el de la máquina víctima (para evitar quebraderos de cabeza innecesarios)

Y nos autenticamos, obteniendo con ello el hash del usuario administrator

 

Para verificar que el mismo funciona, nos conectamos con el  usuario administrator

 

Obteniendo la flag de Administrator

Estando dentro, vamos al escritorio del usuario y cogemos nuestra flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace