Heist [EASY🟢]
Dificultad: Fácil
1- Reconocimiento y escaneo
1.1 Ping
1.1 PingPodemos notar que se trata de una maquina Windows, debido al TTL:
1.2 Nmap
1.2 NmapTenemos el puerto 80(Microsoft IIS 10.0) correspondiente a un servidor web, puerto 135 y 139, puertos comunes en Windows, y por ultimo y interesante, el puerto 5985, con este puerto en la fase de explotación y escalado de privilegios podremos conectarnos mediante "evil-winrm"
1.3 whatweb
1.3 whatwebVemos tecnologias web como:
Podemos ingresar al sitio web como invitado
1.4 crackmapexec
1.4 crackmapexec2- Explotación
2.1 Cisco Type 7 Password y John The Ripper
2.1 Cisco Type 7 Password y John The RipperVamos a ingresar al sitio web como invitado:
Tenemos un archivo adjunto en el post del usuario "Hazard" que esta preguntando por su router CISCO, vamos a ver que contiene:
Podemos ver posibles credenciales:
Tenemos usuarios tambien(Incluyendo el usuario "Hazard" que fue el que posteo con el archivo adjunto):
Vamos a probar crackear estas contraseñas, este hash es un hash que utiliza Cisco en sus router, Cisco lo conoce como hash de tipo 7, tenemos varios sitios webs para crackear estos hashes, en mi caso utilizare la siguiente:
Cisco Type 7 Password Decrypter
Voy a pasarle la contraseña del usuario "rout3r":
Y ahora la del usuario admin:
De tal manera que:
Tambien tenemos un hash en la siguiente linea:
Parece ser un hash MD5, asi que vamos a almacenarlo en un archivo de texto para posteriormente crackearlo con John The Ripper
Y ahora vamos a crackearlo con John The Ripper
(En mi caso utilizare rockyou como diccionario)
Y ahora la lista de usuarios y contraseñas quedaria de la siguiente forma:
Vamos a almacenar los usuarios por un lado en un archivo de texto y de igual manera para las contraseñas:
2.2 Fuerza bruta con crackmapexec a SMB
2.2 Fuerza bruta con crackmapexec a SMBAhora con estas credenciales potenciales, vamos a utilizar crackmapexec para verificar si algunos de estos usuarios coinciden con las contraseñas anteriormente crackeadas para el servicio SMB que esta corriendo por el puerto 445:
(El parámetro "--continue-on-success" es para que cuando detecte unas credenciales validas no se detenga)
Tenemos unas credenciales validas:
2.3 impacket-lookupsid
2.3 impacket-lookupsidLuego de intentar las credenciales validas y incluso de listar los recursos compartidos con las credenciales del usuario "hazard" para ver los permisos, no encontré nada interesante, asi que di por sentado que ninguna de las credenciales es valida, asi que vamos a enumerar usuarios de la maquina Windows, mediante el servicio SMB con la herramienta "impacket-lookupsid"
Primero le especificamos el nombre de la maquina "SUPPORTDESK" que vimos en la fase de reconocimiento y escaneo con la herramienta crackmapexec, luego el usuario y la contraseña y por ultimo la dirección IP
Vemos 3 usuarios interesantes:
Asi que vamos a agregarlos al archivo de texto "users" previamente creado para volver a utilzar crackmapexec y realizar fuerza bruta:
Y volvemos a utilizar el mismo comando de antes con crackmapexec:
Y ahora tambien tenemos las credenciales del usuario "Chase":
Vamos a validar con crackmapexec si las credenciales son validas y si nos da como resultado al final de la validación (PWN3D!), podremos conectarnos mediante "evil-winrm", debido a que el puerto 5985 se encuentra abierto y si el usuario pertenece al grupo de "Remote Management Users":
Podemos conectarnos mediante "evil-winrm"
2.4 Shell con evil-winrm
2.4 Shell con evil-winrmVamos a conectarnos con "evil-winrm" con las credenciales obtenidas del usuario "Chase":
2.5 Obtención de la flag user
2.5 Obtención de la flag userLa flag de user se encuentra dentro de la ruta absoluta "C:\Users\Chase\Desktop\user.txt":
Si ejecutamos "net user Chase", veremos que se encuentra dentro del grupo "Remote Management Users":
3- Escalado de privilegios
3.1 procdump64 (Volcado de datos de un proceso en Windows)
3.1 procdump64 (Volcado de datos de un proceso en Windows)Vamos a listar los procesos que se encuentran activos dentro de la maquina:
Podemos ver que dentro de la maquina se encuentra el Firefox abierto:
Con los PIDs 5860, 6472, 6588, 6712 y 7000, en mi caso utilizare el PID 5860
Para hacer un volcado de datos, vamos a utilizar la herramienta "procdump64", ya que si recordamos en la fase de reconocimiento y escaneo con crackmapexec, la maquina era de 64 bits
Nos descargara un archivo .ZIP
Vamos a descomprimirlo en el directorio donde hayamos dejado la ultima vez que nos conectamos con "evil-winrm":
En nuestro caso, como mencione anteriormente nos interesa concretamente el archivo "procdump64.exe", asi que vamos a subirlo a la maquina con el comando "upload" que viene integrado a la herramienta de "evil-winrm":
Vamos a ejecutarlo con el siguiente comando:
Nos creo el volcado de datos del PID 5860, correspondiente al Firefox que se encuentra abierto en la maquina(firefox.exe_250310_080820.dmp)
Y ahora para bajarnos ese archivo y visualizarlo como binario con el comando "strings", vamos a utilizar el comando "download":
Aunque esto va a tardar mucho, asi que mientras se va descargando y aumentando el tamaño del archivo, vamos a ir visualizandolo con "strings" y aplicando un "grep" a la palabra clave "password":
Si analizamos detalladamente el resultado de este filtrado para la salida del comando "strings", podremos ver que hay unas credenciales:
Las siguiente credenciales:
Estos datos, vienen de solicitudes que ha realizado el usuario que tenia abierto el Firefox
3.2 Reutilización de credenciales
3.2 Reutilización de credencialesVamos a intentar logearnos con "evil-winrm" con la contraseña obtenida "4dD!5}x/re8]FBuZ" al usuario "Administrator" para probar si estamos ante un caso de reutilización de credenciales, pero antes vamos a verificar las credenciales con crackmapexec
Podemos ver que las credenciales son correctas, ahora vamos a logearnos con evil-winrm
3.3 Obtención de la flag root
3.3 Obtención de la flag rootLa flag de root, se encuentra dentro del directorio "C:\Users\Administrator\Desktop\root.txt":
Con esto, concluimos la maquina "Heist" de Hack The Box
Espero te haya sido de ayuda este Write Up :)
Si tuviste alguna dificultad a la hora de resolverlo, no olvides contactarme en mis redes sociales
Última actualización