Portfolio

Grandpa HackTheBox (Writeup)

LogoHack The Boxapp.hackthebox.com

Skills:

  • Microsoft IIS 6.0 - WebDAV 'ScStoragePathFromUrl' Remote Buffer Overflow [RCE]

  • Token Kidnapping - Churrasco [Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap : 80

Scan de la version des ports avec Nmap :

Nous remarquons que la page utilise WebDAV sous Microsoft-IIS 6.0.

Exploitation WebDAV - Microsoft-IIS 6.0

Test d'upload avec Davtest

Nous vérifions si nous pouvons injecter des fichiers malveillants :

Cependant, toutes les extensions retournent un fail, indiquant que l'upload est restreint.

Puisque nous avons confirmé que le serveur exécute IIS 6.0, nous exploitons une vulnérabilité de buffer overflow découverte en 2017.

Voici un script Python permettant d'exploiter cette faille et d'obtenir un shell :

LogoGitHub - g0rx/iis6-exploit-2017-CVE-2017-7269: iis6 exploit 2017 CVE-2017-7269GitHub

Nous nous mettons en écoute sur le port 443 :

Nous lançons ensuite l'exploit :

Élévation de privilèges

Explotation du Kernel - Windows Server 2003

En exécutant la commande systeminfo, nous constatons que l'équipement cible fonctionne sous Windows Server 2003, un système d'exploitation obsolète et vulnérable :

De plus, nous avons le privilège SeImpersonatePrivilege, ce qui nous permet de tenter une élévation de privilèges en exploitant des techniques bien connues.

Utilisation de churrasco.exe

Pour exploiter cette faille, nous allons utiliser churrasco.exe, un exploit permettant d'obtenir des privilèges SYSTEM.

https://github.com/Re4son/Churrasco/raw/master/churrasco.exegithub.com

Transfert de fichier Windows (SMB)

Nous utilisons smbserver.py pour partager un répertoire contenant le fichier exploit 40627.exe Ce fichier est ensuite copié sur la machine cible.

Depuis la machine cible, nous copions le fichier exploit dans le répertoire courant :

Nous pouvons alors exécuter n'importe quelle commande avec ce binaire, par exemple :

Si l'exploit fonctionne correctement, nous devrions voir NT AUTHORITY\SYSTEM.

Établir une reverse shell

Pour établir une reverse shell, nous écoutons sur le port 443 :

Nous créons à nouveau un serveur SMB avec nc.exe

Enfin, nous exécutons la reverse shell avec la commande suivante :

Flag user.txt :)

Flag root.txt :)

Mis à jour

Ce contenu vous a-t-il été utile ?