Skip to main content
HackTheBox machines – Manager WriteUp

HackTheBox machines – Manager WriteUp

Manager es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Windows

Manager es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Manager 10.129.143.233 a /etc/hosts como manager.htb y comenzamos con el escaneo de puertos nmap.

Una vez detectados los puertos abiertos lanzamos un escaneo más detallado sobre los mismos

 

Enumeración

Accedemos al portal web y vemos la siguiente ventana

HackTheBox machines – Manager WriteUp

 

No vemos gran cosa en el mismo así que, y viendo que está abierto el puerto 88, vamos a realizar una enumeración de usuarios con kerbrute

 

Viendo el listado de usuarios, utilizaremos el mismo con crackmapexec para realizar un ataque de password spraying utilizando el nombre de usuario como password

Y vemos que el usuario operator utiliza su username como pasword.

Después de varias comprobaciones, accedemos al mssql a través del puerto 1433 con las credenciales obtenidas

 

Hacemos algunas pruebas a ver que posibilidades tenemos y vemos que podemos utilizar xp_dirtree para enumerar ficheros y directorios

 

Revisamos el portal web y encontramos dentro un backup en un fichero .zip

 

Descargamos el mismo con un simple wget y revisamos su contenido antes de extraerlo

 

Existe un fichero oculto con configuración antigua del portal, así que revisamos el mismo

 

Encontramos unas credenciales así que revisamos las mismas y entramos por winrm

 

Obteniendo la flag de user

Ya estamos dentro así que vamos por la primera flag

 

Escalado de privilegios

Revisamos los permisos del usuario en el sistema

 

Y vemos que dispone del permiso SeMachineAccountPrivilege, el cual permite añadir servidores al dominio, aunque nos da error, por lo que seguimos.

Revisamos si el sistema disponde de plantillas de certificados vulnerables que nos ayuden en el escalado

 

No dispone de plantillas como tal, pero vemos que puede gestionar la ca y que puede abrir tickets de issues. Además vemos que escupe una vulnerabilidad, ESC7, así que vamos a google y encontramos un post en hacktricks que explica como podemos explotar este fallo.

Así que siguiendo el post, en primer lugar, añadiremos como oficial al usuario

 

Habilitaremos la plantilla por defecto de la subca

 

Solicitaremos un ticket como admin, dará error, pero es normal

 

Generamos el ticket con el issue, utilizando el id de la petición anterior

 

Y recuperaremos el certificado del usuario admin

 

Y el último paso será autenticarnos con el certificado para obtener el hash del usuario admin

 

Obteniendo la flag de root

Con el hash del usuario administrator, conectamos por winrm y cogemos la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *