HackTheBox machines – ServMon WriteUp

ServMon es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina ServMon 10.10.10.184 a /etc/hosts como servmon.htb y comenzamos con el escaneo de puertos nmap.

Descubrimos varios servicios abiertos que pasamos a comprobar a continuación.

 

Enumerando

Comprobamos el primero de los servicios y verificamos el acceso a ftp como anonymous.

Y descubrimos dos usuarios, Nadine y Nathan y dos ficheros.

El fichero Confidential.txt

Y el fichero Notes to do.txt

Tenemos dos usuarios, pero ninguna credencial de acceso así que seguimos investigando.

Comprobaremos ahora el puerto 80, que nos lleva a un portal con el software NVMS-1000

 

Probamos con lo típico, admin:admin, pero sin éxito así que buscamos algún exploit al respecto en google y damos con una vulnerabilidad de Directory Traversal

Abrimos burpsuite, interceptamos la petición y verificamos si es vulnerable:

 

Vale, hemos comprobado que es vulnerable a este fallo, así que ayudándonos de lo mencionado en el fichero Confidential.txt tratamos de obtener las contraseñas:

 

Y conseguimos el fichero Passwords.txt de la home del usuario Nathan cuyo contenido es el siguiente:

Con las claves obtenidas, vamos a probar a loguearnos con los usuarios y claves por ssh. Utilizaremos hydra para hacer un ataque con diccionario:

Y tenemos un acceso por ssh con el user Nadine y la pass L1k3B1gBut7s@W0rk

 

Obteniendo la flag de user

Accedemos por ssh con las claves obtenidas, y tenemos la flag del usuario en la carpeta desktop del usuario:

 

Escalando privilegios

Una vez tenemos el primer acceso, después de varias vueltas, revisamos el servicio existente en el puerto 8443.

Se trata de nsclient++, un agente utilizado en windows para la monitorización del sistema con nagios.

Buscamos en google y encontramos un exploit del mismo que podemos comprobar si es posible obtener información con la explicación que ofrece.

Así que nos vamos al fichero c:\program files\nsclient++\nsclient.ini cuyo contenido es el siguiente:

Y vemos dos cosas importantes en el mismo, la contraseña y la dirección de acceso permitida:

Así que creamos un tunel con ssh para acceder al portal con la dirección 127.0.0.1 o localhost:

Y conseguimos entrar al portal mediante la dirección https://127.0.0.1:9000 y loguearnos en el mismo con la password obtenida.

Ahora lo que haremos será subir el fichero nc.exe a la máquina para poder ejecutar una shell inversa y conectar como system.

Y crearemos un fichero .bat que ejecutaremos posteriormente en la máquina:

Y lo subimos:

Posteriormente iremos a la sección de settings y crearemos nuestro script como vemos en la siguiente captura:

 

Y después crearemos una tarea programada que ejecute nuestro script:

 

Después pulsaremos en el botón de la barra superior Control > reload

 

Obteniendo la flag de root

Una vez recargamos, cuando pase el minuto que le hemos puesto de intervalo a la tarea programada, tendremos la shell como system:

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.