Skip to main content
HackTheBox machines – Hospital WriteUp

HackTheBox machines – Hospital WriteUp

Hospital es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Windows

Hospital es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Hospital 10.129.82.185 a /etc/hosts como hospital.htb y comenzamos con el escaneo de puertos nmap.

Una vez descubiertos los puertos abiertos, lanzamos un escaneo más detallado sobre los mismos

 

Enumeración

Accedemos a través del navegador al portal web del puerto 80

HackTheBox machines – Hospital WriteUp

 

Vemos un login de roundcube, aunque no tenemos credenciales, así que continuamos y accedemos al portal web en el puerto 8080

HackTheBox machines – Hospital WriteUp

 

Tampoco tenemos credenciales, pero en este caso podemos crear una cuenta, la creamos y accedemos y llegaremos a un formulario de subida de ficheros

HackTheBox machines – Hospital WriteUp

 

Sólo podemos subir imágenes, así que hacemos alguna que otra prueba y vemos que podemos saltar la restricción si el fichero tiene la extensión .phar, así que subimos una revhsell y accedemos a la misma.

Ejecutando la shell

 

Nos lanzamos una revshell desde aquí debido a que cada pocos minutos se borran los ficheros

Y tenemos un acceso más estable con el usuario www-data

 

Escapando del contenedor

Enumeramos el sistema y viendo las interfaces de red

Vemos que la ip no concuerda con la de la máquina, por lo que estamos dentro de un contenedor.

Revisamos la versión del sistema y del kernel

Y si buscamos en google encontramos un post en reddit donde explica como podemos escalar privilegios a root dentro del contenedor, así que ejecutamos para verificar

Y vemos que ha funcionado, así que modificamos un poco el payload para escalar a root

Y ya somos root en el contenedor.

Revisamos los usuarios en los ficheros passwd y shadow para obtener los hashes

 

Sacamos el hash del usuario drwilliams y lo pasamos por john y obtenemos su password en plano

 

Obteniendo acceso al servidor

Ahora que tenemos las credenciales del usuario drwilliams accedemos con las mismas al portal de roundcube y vemos un correo del usuario drbrown

Revisión del correo

 

En el correo nos indica que tenemos que enviarle unos diseños, cuya extensión sea eps y que este sea legible con Ghostcript, así que vamos a google y encontramos una poc para realizar un ataque de Command Injection a través del mismo.

Revisando el código, la revshell que genera es para sistemas unix así que generamos una propia desde revshells (powershell 3 base64) y generamos el fichero eps malicioso

Y enviaremos el fichero por correo contestando al anterior email del usuario drbrown

Envio del fichero eps malicioso

 

Y obtendremos una shell con el usuario drbrown

 

Obteniendo la flag de user

Una vez dentro, vamos al escritorio y cogemos la primera flag

 

Escalado de privilegios

Una vez dentro revisamos la máquina y vemos el directorio de xampp en la raíz

Así que subimos una revshell en php para windows en la ruta c:\xampp\htdocs

Accedemos al fichero desde el navegador y tendremos una shell como system

 

Obteniendo la flag de root

Por último vamos al escritorio del usuario administrator y cogemos la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *