HackTheBox machines – Resolute WriteUp

Resolute es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad media.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Resolute 10.10.10.169 a /etc/hosts como resolute.htb y comenzamos con el escaneo de puertos nmap.

Encontramos bastantes puertos y servicios abiertos en esta máquina como el servicio DNS, Active Directory, etc, pero vamos a continuar obteniendo información.

 

Enumerando

Continuaremos la enumeración en este caso con el script enum4linux a ver si podemos obtener más información del sistema, usuarios, dominio, etc.

 

En la salida anterior encontramos una línea interesante donde aparecen indicados un usuario y su contraseña marko:Welcome123!

Parece demasiado fácil, probamos el acceso con dicho usuario pero no conseguimos nada:

 

Con los datos obtenidos, generamos un diccionario con los usuarios descubiertos y utilizamos el módulo de metasploit smb_login para comprobar si la password descubierta pertenece a alguno de los usuarios:

Y tenemos un candidato:

Con los datos descubiertos utilizamos la herramienta ldapdomaindump para obtener más información del dominio:

Y obtenemos información como la que se puede apreciar en las siguientes capturas:

Donde observamos, entre otras cosas, que el usuario obtenido pertenece al grupo “Remote Management Users”. Así como el nombre de la máquina que es RESOLUTE.

 

Obteniendo la flag de user

Con las credenciales obtenidas del usuario melanie utilizamos la herramienta evil-winrm para acceder al sistema:

Y conseguimos con ello la flag de user.

 

Escalado lateral

Ahora que ya tenemos un acceso al sistema continuando buscando posibles puntos débiles que podamos aprovechar para escalar privilegios.

Nos vamos a la raíz del disco C y después de varias vueltas descubrimos algo en particular. Enumeramos el mismo:

Y descubrimos un directorio llamado PSTranscripts, donde podríamos obtener un histórico de comandos de powershell realizados, así como la salida de los mismos:

Continuamos buscando en su interior:

Y por fin encontramos el transcript cuyo contenido es el siguiente:

En el mismo encontramos una línea muy interesante:

Tenemos las credenciales del usuario ryan, así que verificamos las mismas accediendo con dicho usuario a la máquina:

Y ya tenemos otro usuario, estamos más cerca de llegar a root, aunque aun nos quedan varios pasos por realizar.

 

Escalado de privilegios

Ahora que ya disponemos de un usuario con más privilegios, revisamos las búsquedas hasta el momento, en concreto el dump de ldap realizado al principio:

Observamos que el usuario ryan, que pertenece al grupo Contractors, está incluído en el grupo DnsAdmins, a través del cual podríamos conseguir escalar los ansiados privilegios en la máquina.

Después de una búsqueda en google, encontramos un portal donde explica la posibilidad de aprovechar el grupo DnsAdmins para escalar privilegios.

Uno de los pasos importantes a realizar, es verificar que el sistema dispone de una versión de 64 bits:

Una vez verificado, crearemos un payload que posteriormente subiremos a la máquina, utilizaremos para ello la herramienta msfvenom y generaremos un dll que otorgue permisos de administrador al usuario melanie:

Crearemos ahora un servidor smb en nuestra máquina a través del cual nos conectaremos para descargar el dll malicioso. Utilizaremos para ello la herramienta smbserver de impacket:

A continuación utilizaremos la utilidad de windows dnscmd para añadir en la clave de registro nuestro dll malicioso:

Y verificamos la clave registro para comprobar que se ha injectado nuestro dll:

Ahora lo que nos queda es reiniciar el servicio de DNS y se añadirá nuestro dll al servicio de dns, ejecutando con ello nuestro comando:

Y como vemos en la salida de smbserver, hemos conseguido injectar el mismo:

 

Obteniendo la flag de root

Ahora que lo hemos ejecutado nos queda acceder con el usuario melanie y comprobar los permisos:

Y como vemos estamos en el grupo de administradores, así que vamos a por nuestra flag:

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.