Skip to main content
HackTheBox machines – Hancliffe WriteUp

HackTheBox machines – Hancliffe WriteUp

Hancliffe es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Windows

Hancliffe es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Difícil.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Hancliffe 10.10.11.115 a /etc/hosts como hancliffe.htb y comenzamos con el escaneo de puertos nmap.

En el anterior escaneo vemos 3 puertos, dos con un portal web y un tercero con una aplicación.

 

Enumeración

Como nos pica la curiosidad, hacemos una pequeña prueba a la aplicación que corre en el puerto 9999 pero no disponemos de credenciales

Así que vamos a continuar viendo el portal web del puerto 80 

Vemos una página por defecto de nginx pero nada más así que vamos a enumerar directorios con gobuster

Revisamos las urls descubiertas y vemos que la url /maintenance nos lleva a /nuxeo/Maintenance, donde devuelve un error 404, pero si vamos a /Maintenance en este caso nos muestra una página diferente

Parece que realmente es una página de mantenimiento, además, con la anterior redirección, hemos descubierto que está corriendo la aplicación de Nuxeo, utilizada para la creación y gestión de otras aplicaciones, y que además está basada en java.

Para continuar vamos a enumerar de nuevo pero esta vez bajo la uri de maintenance que vimos antes

 

Revisamos cada uno de los ficheros existentes y vemos una respuesta muy interesante en el fichero .jsf en el cual vemos la siguiente respuesta

 

Conociendo que es nginx y java buscamos en google y vemos dos cosas interesantes, una vulnerabilidad para el software de Nuxeo y un post donde habla de los ataques relacionados con proxy inverso.

Visto el post anterior, vamos a tratar de utilizar la técnica mencionada para poder enumerar más alla de lo que nos permite hacer en un principio para saltarnos la redirección que realiza

Y observamos dos ficheros que no habíamos visto hasta ahora

Una página de inicio

 

Y una página de login

 

Revisando la página de login, podemos ver en el footer de la misma la versión de Nuxeo utilizada

Y por lo tanto confirmamos que es vulnerable a CVE-2018-16341 ya que es una versión inferior a la 10.3

Por lo que descargamos el exploit público existente y realizaremos unas modificaciones sobre el mismo para adaptarlo a nuestra URL quedando como vemos a continuación

 

Antes de ejecutar el mismo, necesitaremos también una rev shell que podemos hacer con msfvenom o a través de revshells.com

Y una vez generada, lanzamos nuestro exploit y verificamos el usuario con el cual tenemos acceso

Con nuestra reverse shell generada, ejecutamos la misma

Y conseguiremos en nuestra escucha acceso con el usuario svc_account

Enumeraremos la máquina a continuación para revisar posibles formas de escalar privilegios y vemos un servicio muy interesante

En el cual vemos que hay una tarea corriendo

Y el puerto que está utilizando la misma

Así que buscamos posibles exploits y encontramos varios 

Aunque principalmente nos fijamos en un RCE que nos vendrá bien para conseguir escalar

Ahora tenemos un problema, y es que el puerto no está abierto al exterior, por lo que tendremos que hacer un tunel con nuestra máquina, y para eso utilizaremos chisel.

Así que subiremos chisel a la máquina hancliffe

Levantaremos el servidor en nuestra máquina

Y posteriormente ejecutaremos el cliente en la máquina víctima

Para conseguir hacer el tunel con el puerto deseado

Ahora que ya tenemos el puerto accesible, generamos nuestro payload

Y ejecutamos el exploit 

Consiguiendo acceso con el usuario clara

 

Obteniendo la flag de user

Ahora que ya estamos dentro, nos vamos al escritorio del usuario para conseguir nuestra flag

 

Escalado de privilegios

Ahora que hemos conseguido escalar al siguiente usuario, volvemos a enumerar la máquina y encontramos un fichero con credenciales utilizadas en firefoz en la home del usuario clara

Así que utilizaremos un script para descifrar las mimas, obteniendo las siguientes claves

 

Esto nos da que pensar sobre el portal que vimos en el puerto 8000, donde se observa una aplicación de Gestión de Passwords llamada hashpash

 

Así que introducimos los datos obtenidos probando con varios usuarios y conseguimos las claves del usuario development introduciendo los siguientes valores

 

Ahora que tenemos las credenciales necesitamos acceder pero el puerto 5985 utilizado por evil-winrm no está abierto, así que haremos otro tunel con chisel para poder acceder con dicho puerto

Y accederemos al sistema con el usuario development

Ahora que estamos dentro revisamos la máquina y encontramos un fichero ejecutable, el cual es el encargado de la aplicación que vimos anteriormente en el puerto 9999, así que descargamos la misma para hacer el reversing y tratar de explotarla

 

Descargamos el ejecutable y lo analizamos con ghidra y ollydbg y encontramos varios datos interesantes. 

En primer lugar encontramos los datos de acceso del usuario a través de la aplicación

Hacemos una prueba pero la password no es la correcta, así que buscamos en el ejecutable y encontramos dos funciones de cifrado en el mismo

 

Así que trataremos de realizar el método inverso y coneguimos descifrar la password, siendo el resultado final el siguiente

A continuación tenemos que encontrar la forma de conseguir explotar la aplicación y vemos un posible punto a través del código de invitado, aunque parece que no disponemos el tamaño suficiente para nuestro payload, así que después de un rato buscando encontramos que es vulnerable al ataque de Reutilización de Socket y vemos dos posts bastante interesantes donde comentan y explican como hacer este tipo de desbordamientos.

https://rastating.github.io/using-socket-reuse-to-exploit-vulnserver/

https://infosecwriteups.com/expdev-vulnserver-part-6-8c98fcdc9131

Así que generamos nuestro exploit, (una vez esté retirada la máquina lo publicaré en este mismo post) y ejecutamos el mismo

 

Y después de algún que otro intento conseguiremos nuestra shell con system

 

Ahora que ya estamos dentro podemos ir a por la flag, pero antes vamos a hacer otra cosa

Generamos y  descargamos la sam

Y la desciframos con mimikatz 

Y así dispondremos ya del hash del usuario administrator.

 

Obteniendo la flag de root

Como ya hemos conseguido también el hash del usuario administrator, accedemos con el mismo y cogemos nuestra flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.