HackTheBox machines – Reel2 WriteUp

Reel2 es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Difícil.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Reel2 10.10.10.210 a /etc/hosts como reel2.htb y comenzamos con el escaneo de puertos nmap.

Observamos varios puertos abiertos en esta máquina, así que comenzaremos por los puertos 80, 443 y 8080 que disponen de portales web.

 

Enumeracion

Accedemos en primer lugar a través del puerto 80 y este nos da un error 403 (Acceso denegado):

 

Así que pasamos al siguiente y al acceder al puerto 443 observamos la página por defecto de IIS:

 

En este punto no disponemos de mucho más así que vamos a lanzar gobuster con la idea de descubrir los directorios existentes en el mismo y observamos lo siguiente:

 

Y observamos, entre otros, el directorio /owa bastante interesante a través del cual podemos loguearnos en outlook por lo que accedemos al mismo observando el siguiente portal de login:

 

Pero no disponemos de credenciales hasta este punto así que vamos a continuar y pasaremos a revisar ahora el portal existente en el puerto 8080 donde observamos el siguiente portal:

 

Se trata de wallstant, una red social basada en PHP y con licencia Open Source. Como no disponemos de credenciales tampoco en este punto, vamos a crear una cuenta en la red social y accederemos con los datos de nuestra cuenta observando la siguiente página de inicio de la aplicación:

 

En la red social observamos que hay una serie de posibles usuarios con los que tal vez podamos hacer algo en el portal de login de outlook que vimos anteriormente así que hacemos un diccionario con todos ellos:

Y revisamos los post creados por cada usuario y encontramos uno interesante en el usuario sven cuyo texto es el siguiente:

Así que vamos a crear un diccionario personalizado utilizando el dict de rockyou y la palabra summer que observamos en el post:

Llegados a este punto probamos la fuerza bruta con algunas herramientas pero sin éxito así que vamos a google y encontramos una en particular para hacer ataques de fuerza bruta a portales owa llamada SprayingToolkit, así que descargamos la misma y procedemos a realizar el ataque:

Y conseguimos un usuario y clave válidos:

Así que volvemos al portal owa visto anteriormente y tratamos de hacer login con las credenciales obtenidas, observando el siguiente portal:

 

Vemos que está en sueco, así que lo abrimos con chrome para poder traducirlo y verlo en inglés.

Buscamos en google alguna forma de poder explotar esto y encontramos que la forma es a través de phising y obtener las credenciales NTLM del usuario en nuestra escucha, y que está explicado en el siguiente post:

https://www.ired.team/offensive-security/initial-access/netntlmv2-hash-stealing-using-outlook

Así que para poder llevar a cabo nuestro ataque, lanzamos la escucha con responder como primer paso:

Y ahora vamoa a enviar el correo, seleccionaremos para ello a todos los contactos existentes en la libreta de direcciones del usuario y enviaremos como body nuestra ip como en el siguiente ejemplo:

 

Enviamos el correo y a los pocos minutos obstenemos el hash de un usuario en nuestra escucha en responder:

Y utilizaremos hashcat para poder descifrar la misma:

Y ya tenemos un usuario y clave para poder acceder a la máquina:

Llegados a este punto, no podemos utilizar evil-winrm como hemos hecho en numerosas ocasiones así que tendremos que buscarnos la vida por otros medios, y en nuestro caso, nos conectaremos a la máquina por powershell.

En primer lugar necesitaremos instalar el mismo en nuestro kali:

Una vez instalado abriremos la consola de powershell:

Y ejecutaremos los siguientes comandos:

Y ya estamos dentro con el usuario k.svensson.

 

Obteniendo la flag de user

Ahora que ya estamos dentro, nos vamos al escritorio del usuario y obtenemos la flag de user:

 

Escalado de privilegios

Llegados a este punto, y por comodidad, vamos a subir nc a la máquina para poder disponer de una shell más cómoda en el sistema:

Y obtenemos acceso en nuestra escucha con nc, donde además podemos ejecutar comandos sin complicaciones:

Procederemos entonces a enumerar el sistema y encontramos un fichero de log interesante:

Situado en la home del usuario y con nombre 000003.log:

Pero no podemos ver el mismo desde esta consola así que utilizaremos nc para enviarlo a nuestro kali:

Y lo recibimos con:

Y utilizaremos el comando strings para ver el contenido del fichero:

Y encontramos unas credenciales de la cuenta de JEA:

Conociendo que este servicio se encuentra instalado en la máquina revisamos el comando básico de jea_test_account psrc y pssc y observamos que la función de Check-File se carga si el contenido es de C:\ProgramData por lo que crearemos un enlace simbólico del directorio ProgramData a la home del usuario Administrator para poder obtener nuestra flag.

Dicho esto, ejecutaremos el comando desde la sesión actual para crear el enlace simbólico:

Y posteriormente nos loguearemos por powershell con el usuario jea_test_account:

 

Obteniendo la flag de root

Ahora que estamos con la cuenta del usuario de jea, y que ya hemos creado el enlace simbólico de ProgramData a la home de Administrator ejecutamos el comando CheckFile para obtener nuestra flag:

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace