Skip to main content
HackTheBox machines - Sauna

HackTheBox machines – Sauna WriteUp

Sauna es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox.

Sauna es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Sauna 10.10.10.175 a /etc/hosts como sauna.htb y comenzamos con el escaneo de puertos nmap.

Una vez realizado el escaneo procedemos a revisar los diferentes puertos abiertos. Observamos que existe un AD bajo el dominio EGOTISTICAL-BANK.LOCAL que posiblemente nos ayude a obtener información del sistema, pero vamos a ir paso a paso investigando las posibles opciones.

 

Pasamos al puerto 80 donde vemos el siguiente portal web:

HackTheBox machines - Sauna

Investigamos un poco la web y tampoco vemos ningún vector posible. Buscamos acerca de alguna vulnerabilidad de IIS en la versión 10.0 aunque tampoco conseguimos demasiada información relevante del mismo.

 

Enumeración

Procedemos entonces a realizar diferentes enumeraciones en el servicio para intentar obtener datos suficientes para conseguir acceso a la máquina.

Utilizaremos como primera opción el script en perl enum4linux:

Aunque en este caso tampoco obtenemos demasiada información.

Seguimos investigando con diferentes herramientas y al final volvemos a la página web y observamos una serie de usuarios en la sección de team:

HackTheBox machines - Sauna

 

Así que vamos a crear una lista de usuarios e intentar descubrir si alguno de los mismos existe en el dominio existente y obtenemos el siguiente diccionario con algunas combinaciones:

Utilizaremos la herramienta GetNPUsers.py incluida en la suite de impacker para intentar descubrir si alguno de los usuarios de nuestro diccionario existen en el dominio.

Y parece, que uno de ellos sí existe, además de obtener con la herramienta el hash de su contraseña:

Con el hash obtenido utilizaremos la herramienta de John The Ripper para intentar descifrar el hash y obtener la contraseña en plano:

Para verificar la misma usamos la opción –show:

 

Obteniendo la flag de user

Ahora que tenemos unas credenciales de acceso, utilizaremos la herramienta evil-winrm para intentar acceder a la máquina junto con el puerto 5985 descubierto para el servicio Microsoft HTTPAPI httpd:

Y estamos dentro, comprobamos si podemos obtener la flag en el escritorio del usuario y:

Vale, ya tenemos la flag del usuario.

 

Escalado lateral

Ahora que tenemos el primer usuario, después de varias comprobaciones, parece que vamos a necesitar escalar privilegios a otro usuario antes de conseguir llegar a system.

Comprobamos que homes existen en el sistema, a fin de identificar a los posibles usuarios y descubrimos los siguientes:

Subiremos el script PowerUp de la suite de powertools para intentar enumerar las diferentes posiblidades existentes en el sistema:

A continuación abrimos una consola de powershell, importamos el módulo y ejecutamos el chequeo:

El cual nos dará el siguiente resultado:

En el cual obtenemos una cosa interesante, que parecen ser las credenciales del usuario svc_loanmgr, aunque no corresponde con el nombre obtenido en este caso:

Probamos el acceso con el usuario que vimos anteriormente y esta contraseña y estamos dentro:

Aunque este usuario tampoco dispone de permisos de administrador.

 

Escalado de privilegios

Continuando con la enumeración, utilizaremos ahora el script winPEAS.exe con la idea de obtener más información. Pego sólo una parte importante debido a la inmensa cantidad de información que devuelve el mismo:

Donde vemos que tiene acceso a ciertos ficheros sensibles que podrían ser de mucha ayuda:

Así que vamos a utilizar la herramienta secretsdump.py incluida también en la suite de impacket para intentar obtener un listado de los hashes de dominio para los usuarios existentes:

Y tenemos un listado de hashes, donde entre otros, se encuentran las credenciales del usuario Administrator.

 

Obteniendo la flag de root

Con los hashes obtenidos, utilizaremos la herramienta wmiexec.py, también incluida en impacket para intentar acceder al sistema con el usuario Administrator:

 

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace https://www.hackthebox.eu/home/users/profile/103792

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.