Skip to main content
HackTheBox machines - Monteverde

HackTheBox machines – Monteverde WriteUp

Monteverde es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox.

Monteverde es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad media.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Monteverde 10.10.10.172 a /etc/hosts como monteverde.htb y comenzamos con el escaneo de puertos nmap.

Obtenemos que existen varios puertos abiertos que pertenecen a diferentes servicios. Continuaremos enumerando el sistema en busca de más información al respecto.

 

Enumeración

Comenzaremos la enumeración con enum4linux para intentar descubrir información del dominio y los usuarios existentes:

Hemos conseguido un listado de usuarios existentes en el sistema, el nombre de dominio, así como algo más de información relevante.

Después de dar varias vueltas al respecto, vamos a crear un diccionario de usuarios y contraseñas con los datos obtenidos hasta el momento y utilizaremos la herramienta CrackMapExec para comprobar si disponemos de la password de alguno de ellos en nuestro diccionario.

Muestro sólo el resultado final debido a su tamaño:

Y conseguimos que la contraseña del usuario SABatchJobs es el mismo nombre de usuario, por lo que nos ha tocado un administrador de sistemas bastante vago y un caso que se podría dar perfectamente en una máquina real.

Con el acceso obtenido, probamos a entrar en la máquina pero no podemos hacerlo, así que seguimos enumerando.

Puesto que el análisis lo hemos realizado contra smb verificamos si podemos conectarnos al mismo con las credenciales obtenidas:

Y lo conseguimos así que vamos a explorar el contenido existente a ver si conseguimos más información al respecto u otras credenciales.

Verificamos el acceso a los diferentes directorios y obtenemos el mismo en el directorio users$:

Analizando el mismo obtenemos un fichero en la home del usuario mhope, así que nos descargamos dicho fichero:

Y cuyo contenido es el siguiente:

En este fichero encontramos unas credenciales que suponemos que pertenecen al usuario mhope, así que probaremos a continuación el acceso a la máquina con dicho usuario.

 

Obteniendo la flag de user

Con las credenciales obtenidas del usuario mhope, accedemos utilizando la herramienta evil-winrm:

Y ya tenemos la flag de user.txt en el directorio desktop de la home del usuario mhope.

 

Escalando privilegios

Ahora vamos a revisar las posibilidades existentes para escalar privilegios.

Miramos los permisos y grupos del usuario mhope:

Y encontramos algo interesante, el usuario pertenece al grupo MEGABANK\Azure Admins lo que podría darnos algún indicio o posibilidad para la escalada de privilegios.

Seguimos investigando, y observamos que existe el directorio .Azure en la home del usuario donde se almacenan diferentes datos y la cache de tokens de la conexión con Azure.

Con lo descubierto hasta el momento, investigamos en google y encontramos varios post donde explica como escalar privilegios en windows con un usuario que pertenezca a este grupo mencionado entre los que destacamos el post Azure AD Connect Database Exploit (Priv Esc)

En nuestro caso lo revisamos todo a fondo para entender bien la vulnerabilidad pero vamos a ver en este caso los pasos realizados para conseguir su explotación.

Para una mejor comprensión, la vulnerabilidad permite ejecutar un código en .NET o en Powershell en el servidor donde está instalado Azure AD Connect para obtener las credenciales en texto plano de cualquier cuenta de AD configurada para utilizar.

Así que descargaremos el fichero exe desde el repositorio de github ADSyncDecrypt

Y subiremos los ficheros AdDecrypt.exe y mcrypt.dll a la máquina. Para que funcione correctamente, ambos ficheros deben de situarse en la misma carpeta:

Completada la subida deberemos acceder a la ruta donde se encuentran los ficheros binarios del programa Microsoft Azure AD Sync:

Y lanzaremos el ejecutable indicando la ruta completa al mismo, y conseguiremos las claves del usuario administrador, utilizado para la conexión con Azure:

 

Obteniendo la flag de root

Con las credenciales de administrator obtenidas, sólo nos queda acceder a la máquina con dicho usuario y conseguir nuestra flag:

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respecto en el siguiente enlace https://www.hackthebox.eu/home/users/profile/103792

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.