Netmon HackTheBox (Writeup)

Hack The Boxapp.hackthebox.com

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboarb (21,80,135,139,445,5985,47001,49664,49665,49666,49667,49668,49669)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

Port 21 - FTP

Le serveur FTP est accessible avec l’utilisateur anonymous.

Navigation possible sans privilèges administratifs.

Flag User.txt

Le fichier user.txt contenant le flag utilisateur a été trouvé dans le répertoire Deskto

Port 80 - HTTP

Une interface web de PRTG Network Monitor (NETMON) est détectée.

• L’accès nécessite un login et un mot de passe.

Recherche d'informations sensibles

Dans le dossier de configuration (ProgramData\Paessler\PRTG Network Monitor),

Un fichier PRTG Configuration.old.bak est identifié.

Ce dossier contient :

• Nom d’utilisateur : prtgadmin

• Mot de passe : PrTg@dmin2018

Le mot de passe trouvé n'est pas accepté. Une hypothèse est testée : le fichier étant une sauvegarde, le mot de passe peut être obsolète. En essayant une version actualisée :

• PrTg@dmin2018

L'accès est validé.

Exploitation de PRTG Network Monitor -RCE

Méthode 1 : Exploitation manuelle

Téléchargement d’un script PowerShell pour la reverse shell :

Modification du script : Ajout de l’IP et du port pour la connexion :

Démarrage d’un serveur HTTP :

Mise en écoute

Configuration sur PRTG :

• Aller dans Setup > Account Settings > Notifications.

Ajouter une nouvelle notification avec l’exécution du script :

On reçoit la pétition, mais on n'a pas de reverse shell

Convertir le Script en Base64

Convertir le contenu du script PowerShell en Base64 pour l'utiliser avec l'option -enc de PowerShell.

Tu obtiendras une chaîne Base64 semblable à :

Exécution avec l'option -enc de PowerShell :

Méthode 2: Explotation automatique

Nous recherchons des vulnérabilités associées à PRTG Network Monitor dans searchsploit et trouvons un script d'exploitation :

Nous exécutons ensuite le script en fournissant le cookie de session et l'adresse IP de la cible :

Le script nous informe que l'exploitation a réussi et qu'un nouvel utilisateur pentest a été créé :o

• username: pentest

• Password: P3nT3st!

Accès à la Machine via SMB

Le port 445 est ouvert, ce qui nous permet de nous connecter à la machine cible via SMB. Nous utilisons crackmapexec pour vérifier si les identifiants fonctionnent :

Les identifiants sont valides, et nous avons la capacité de nous connecter à distance, car la réponse indique "pwned".

Accès à la Machine via EvilWinRM

Nous utilisons EvilWinRM pour obtenir une session à distance sur la machine cible avec les identifiants nouvellement créés :

Flag root.txt :)