Skip to main content
HackTheBox machines – Pov WriteUp

HackTheBox machines – Pov WriteUp

Pov es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Windows

Pov es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Media.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Pov 10.129.231.109 a /etc/hosts como pov.htb y comenzamos con el escaneo de puertos nmap.

Una vez vistos los puertos abiertos, escaneamos más en detalle los mismos

 

Enumeración

Sólo tenemos el puerto 80, así que accedemos a través del navegador a la página web existente en el mismo

HackTheBox machines – Pov WriteUp

 

No vemos nada interesante en esta web así que vamos a enumerar subdominios

 

Y aquí descubrimos uno, dev, así que lo añadimos al fichero hosts y accedemos, viendo el siguiente portal

HackTheBox machines – Pov WriteUp

 

Aquí tampoco parece que veamos gran cosa pero si miramos el código fuente vemos las variables de ViewState

HackTheBox machines – Pov WriteUp

 

Y una sección en el portal donde permite descargar un fichero

Detectando el formulario de descarga

Interceptamos la petición de descarga del CV con burp y tratamos de obtener otro fichero diferente, consiguiendo explotar con ello un LFI

Explotando la vulnerabilidad de LFI

 

Y conseguimos con ello el fichero web.config de la aplicación y las claves utilizadas para descifrar y validar los datos.

Visto esto, vamos a generar una revshell con ysoserial utilizando el payload para powershell en base64 de la web de revshells

Y ahora interceptamos y modificamos el valor de __VIEWSTATE por nuestro payload, lanzamos la petición y tenemos una revshell con el usuario sfitz

 

Escalado al usuario alaading

Una vez dentro enumeramos y encontramos un fichero de conexión en la carpeta documents del usuario, en el cual vemos una password cifrada

Para descifrarla podemos utilizar clixml, así que vamos a ello y la sacamos en plano

Con la password vamos a utilizar runas para escalar al usuario

Y tenemos una revshell

 

Obteniendo la flag de user

Una vez dentro, vamos al escritorio del usuario y tenemos la flag

 

Escalado de privilegios

Para el escalado a system, si revisamos los permisos del usuario, vemos que tiene el permiso de SeDebugPrivilege desactivado

Pero podemos activarlo de forma sencilla bypaseando la policy actual de powershell

 

Ahora, para poder continuar, vamos a necesitar una shell en condiciones, o al menos, mejor que la actual, así que nos mandamos el puerto de winrm con chisel

Y accedemos por winrm

 

Para abusar del privilegio de debug vamos a utilizar el script de psgetsystem

Subimos el script y el binario de nc y ejecutamos

 

Y tendremos una shell como system

 

Obteniendo la flag de root

Como último paso, cogemos la flag para dar esta máqina por zanjada

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *