HackTheBox machines – Timelapse WriteUp

Timelapse es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Fácil.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Timelapse 10.10.11.152 a /etc/hosts como timelapse.htb y comenzamos con el escaneo de puertos nmap.

Hacemos un primer escaneo y vemos varios puertos interesantes así que vamos a ver que podemos sacar de los mismos.

 

Enumeración

Empezamos enumerando el servicio de smb y podemos obtener el contenido sin necesidad de disponer de claves de acceso.

Tenemos acceso así que vamos a ver si podemos sacar algo más de alguno de los directorios y encontramos varios ficheros en el directorio Shares

Así que revisamos cada directorio y nos descargamos su contenido para examinarlo más a fondo

 

Revisamos en primer lugar el fichero zip, el cual contiene un fichero pfx

 

Si probamos a extraer el contenido está protegido por contraseña

Así que utilizaremos fcrackzip para romper el cifrado y obtener la password

Ha sido más fácil de lo que parecía así que extraemos el contenido

Pero ahora tenemos otro problema, y es que necesitamos otra password diferente para extraer la clave privada y el certificado del fichero pfx, utilizaremos en este caso john para obtener la password y poder extraer su contenido.

En primer lugar extraermos el hash del fichero con pfx2john

Y posteriormente utilizamos este hash para sacar su password

Ahora que ya tenemos la password vamos a extraer su contenido con openssl.

Extraemos la clave privada

Cuyo contenido es 

 

Y después el certificado

Cuyo contenido es

 

Ahora que ya tenemos el certificado y la clave privada, utilizamos los mismos para acceder a la máquina con evil-winrm

 

Obteniendo la flag de user

Ahora qe ya estamos dentro, nos vamos al escritorio del usuario para obtener nuestra flag

 

Escalado de privilegios

Ahora el siguiente paso será escalar privilegios, para ello, entre otras cosas revisamos el usuario 

Los privilegios del mismo

E información de red del usuario

 

Pero no vemos nada importante así que lanzamos winpeas a ver si nos ayuda en algo y encontramos un fichero muy interesante, se trata del histórico de powershell del usuario, cuyo contenido es el siguiente

 

Revisando el fichero anterior vemos unas credenciales

Pero vamos a aprovechar los comandos existentes en el fichero y vamos a lanzar los mismos, así que preparamos las variables en primer lugar 

Y verificamos

Vale, ha funcionado, pues vamos  a obtener información de los privilegios del usuario

 

Si nos fijamos atentamente, el usuario svc_deploy pertenece al grupo LAPS_Readers, lo que quiere decir que es capaz de obtener la password utilizada por el administrador local, conocido esto, vamos a tratar de obtener la misma.

 

Así que ejecutamos el comando y obtenemos la password del administrador local, vamos a probar el acceso con evil-winrm.

 

Obteniendo la flag de root

Ya somos admin, así que ahora vamos a obtener nuestra flag, pero para nuestra sorpresa, no está en el lugar habitual, revisamos la home de cada usuario y en este caso se encuentra en el escritorio del usuario TRX, y no en el del usuario administrator

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace