Skip to main content
HackTheBox machines – Office WriteUp

HackTheBox machines – Office WriteUp

Office es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Windows

Office es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Difícil.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Office 10.129.105.137 a /etc/hosts como office.htb y comenzamos con el escaneo de puertos nmap.

Detectados los puertos abiertos escaneamos más a fondo los mismos a ver que descubrimos

 

Enumeración

Accedemos al portal web en el puerto 80 y nos encontramos la siguiente web

HackTheBox machines – Office WriteUp

 

Revisamos localizaciones de ficheros típicas y encontramos la versión en el fichero README de la app

HackTheBox machines – Office WriteUp

 

Vemos que se trata del cms Joomla y que su versión es la 4.2 así que nos vamos a google y encontramos la vulnerabilidad CVE-2023-23752 y un exploit en github.

Así que nos descargamos el mismo y lo ejecutaremos para obtener las credenciales de la ddbb

 

Revisamos también el fichero robots y encontramos varias uris interesantes, entre ellas el panel de admin

HackTheBox machines – Office WriteUp

 

Probamos con las credenciales que tenemos pero no son válidas así que seguimos buscando.

Enumeraremos usuarios con kerbrute

Y vamos a probar si las credenciales que obtuvimos anteriormente son válidas para alguno de ellos

Y tenemos unas credenciales válidas para el usuario dwolfe así que vamos a ver donde podemos utilizarlas.

 

Obteniendo una revshell

Revisamos los diferentes servicios y conseguimos conectar al smb

Donde obtenemos un fichero pcap en uno de los shares disponibles

 

Abrimos el fichero con wireshark y analizamos el mismo, donde vemos tráfico de kerberos

Analizando el pcap

 

Y el hash del usuario tstark entre ellos

Hash de kerberos encontrado

 

Así que construimos el hash y lo guardamos en un fichero y lo crackeamos con hashcat

 

Consiguiendo con ello la password del usuario administrator del panel de joomla, así que accedemos al mismo y vemos el siguiente dashboard

Acceso al panel de admin de joomla

 

Una vez dentro, y ya que tenemos privilegios de administrador, editaremos la plantilla actual para añadir una revshell

Consiguiendo revshell en joomla

 

Y al recargar la página tendremos una shell con el usuario web_account

 

Escalado al usuario tstark

Revisamos los usuarios existentes en la máquina

Y existe el usuario tstark del cual obtuvimos antes la password, así que vamos a escalar al mismo con runas

Y tendremos acceso en nuestra escucha

 

Obteniendo la flag de user

Y cogeremos la flag

 

Escalado al usuario ppotts

Para el escalado a root enumeramos la máquina y encontramos un puerto corriendo un servicio web

Así que nos enviamos el mismo con chisel

Y accedemos, viendo el siguiente portal

Portal de curriculum

 

Revisamos la página y encontramos un formulario de subida de currículums

Formulario de subida de ficheros

 

Tratamos de subir ficheros con extensiones que no deberían estar permitidas y nos aparece el siguiente mensaje de error

Forzando el error

 

Vemos que podemos subir ficheros odt, así que buscamos por google y encontramos un exploit para obtener una revshell por este medio gracias al CVE-2023-2255

Así que generamos con el exploit nuestro fichero odt malicioso

Lo subimos al portal y conseguimos acceso con el usuario ppotts

 

Escalado al usuario hhogan

Para este escalado lateral vamos a hacerlo con DPAPI

Esto se debe a que después de una enumeración exhaustiva encontramos que hay credenciales almacenadas

Así que vamos en primer lugar a listar los vault existentes con mimikatz

 

Buscamos también ficheros de credenciales existentes en el servidor

 

Y volvemos a lanzar mimikatz sobre los ficheros descubiertos

 

Hemos encontrado credenciales, aunque están cifradas, así que buscaremos el sid del usuario.

La clave DPAPI utilizada para cifrar la clave RSA de un usuario se almacena en la ruta

donde SID es la clave del usuario, por lo tanto la clave DPAPI se almacenará en el mismo archivo que la clave amestra que protege la clave, que suelen ser 64 bytes de datos aleatorios.

Así que enumeramos el contenido de la ruta protect

 

 

Y volvemos a mimikatz para descifrar la última parte

 

Y hemos sacado las claves de la caché, así que ahora vamos a descifrarlas

 

Y ya tenemos la clave, así que vamos a conectar por winrm

 

Escalado a administrator

Para el último paso necesitamos conocer un poco más a fondo la configuración del Active Directory, así que vamos a dumpear y analizar los datos con bloodhound

 

Revisamos en nuestro kali el usuario y vemos que pertenece al grupo GPO Managers

Analizando el AD con bloodhound

 

Así que vamos a verificar los mismos en la máquina

 

Al pertenecer al grupo de GPO Managers, puede crear/modificar/eliminar cualquier gpo, por lo que vamos a revisar en primer lugar que gpos existenten actualmente

 

Vistas las GPOs, vamos a utilizar SharpGPOAbuse para añadir al usuario a la gpo

Así que ejecutamos

Forzamos el update de las políticas

Y verificamos que realmente está incluido en el grupo y es administrador

 

Obteniendo la flag de root

Como ya somos admin, vamos a por la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *