search
githubEditar

πŸŸ₯HTB - Office

https://app.hackthebox.com/machines/Office

hashtag
InformaciΓ³n General

  • Nombre de la MΓ‘quina: Office

  • IP de la MΓ‘quina: 10.129.230.226

  • Sistema Operativo: Windows

  • Dificultad: Hard

  • Fecha de PublicaciΓ³n: 17 Feb 2024

hashtag
Enumeration

hashtag
Ping para obtener ruta de retorno

Realizamos un ping a la mΓ‘quina objetivo para verificar la conectividad y obtener informaciΓ³n sobre la ruta utilizando la opciΓ³n -R para incluir la ruta de retorno:

El valor de TTL (Time To Live) igual a 127 puede ser indicativo de que el sistema operativo de la mΓ‘quina objetivo es Windows. El TTL es un valor en el campo de los paquetes IP que indica la duraciΓ³n que un paquete puede estar en una red antes de ser descartado. Windows establece por defecto el valor de TTL de sus paquetes IP en 128, que al pasar por un salto en la red se decrementa a 127.

hashtag
Escaneo de puertos con Nmap

Luego, realizamos un escaneo de puertos utilizando Nmap para identificar los puertos abiertos en la mΓ‘quina objetivo. Utilizamos las opciones -p- para escanear todos los puertos, --open para mostrar solo los puertos abiertos, -sS para un escaneo de tipo TCP SYN, --min-rate 5000 para establecer la velocidad mΓ­nima de paquetes y -vvv para un nivel de verbosidad alto. AdemΓ‘s, utilizamos -n para desactivar la resoluciΓ³n de DNS, -Pn para no realizar el escaneo de ping, y -oG allPorts para guardar la salida en un archivo con formato Greppable para luego utilizar nuestra funciΓ³n extractPorts:

hashtag
Escaneo detallado con Nmap

Posteriormente, realizamos un escaneo mΓ‘s detallado de los puertos identificados utilizando la opciΓ³n -sCV para detecciΓ³n de versiones y scripts de enumeraciΓ³n de servicios. EspecΓ­ficamente, indicamos los puertos a escanear con -p __PORTS__ (reemplazando __PORTS__ con los puertos identificados en el paso anterior) y guardamos la salida en un archivo de texto con el nombre targeted:

hashtag
Modificando /etc/hosts

Para aΓ±adir la entrada "10.129.230.226 office.htb" al archivo /etc/hosts, puedes usar el siguiente comando en la terminal:

hashtag
Enumeration en Joomla

office.htb/robots.txt
office.htb/Administrator/manifests/files/joomla.xmlarrow-up-right

hashtag
ExplotaciΓ³n de CVE-2023-23752

Entonces podemos ver que se trata de Joomla 4.2.7, y en Google encuentro esto: CVE-2023-23752 - Joomla Improper Access Checkarrow-up-right.

En este WriteUp puedes encontrar mΓ‘s informaciΓ³n de este CVE. HTB - Devvortex

hashtag
Descubrimiento de Usuarios / Password Bruteforce

Podemos utilizar kerbrute y ver si encontramos algunos usuarios, para luego ver a cual de ellos le corresponde la contraseΓ±a que encontramos.

hashtag

hashtag
Cliente SMB (Impacket)

LogoGitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.GitHubchevron-right

hashtag
Obteniendo Kerberos Pre-Auth Packets con Wireshark

MΓ‘s informacion en https://vbscrub.com/2020/02/27/getting-passwords-from-kerberos-pre-authentication-packets/arrow-up-right.

Password cracked!

hashtag
Accedemos como Administrator en Joomla

Modificamos algΓΊn archivo para subir nuestra shell. En este caso yo subir un uploader y luego la shell.

hashtag
Meterpreter Reverse_TCP Shell

hashtag
RunasCs y Meterpreter Shell como Tstark

Lo que deseamos hacer es ejecutar mediante RunasCs nuestro 7777.exe, para que este se ejecute desde el usuario Tstark para asΓ­ acceder a su cuenta.

LogoRunasCs/Invoke-RunasCs.ps1 at master Β· antonioCoco/RunasCsGitHubchevron-right

hashtag
Port forwarding con Chisel

Deseamos acceder a la ruta 127.0.0.1:8083 de la mΓ‘quina Windows desde nuestra mΓ‘quina Kali Linux para ello debemos redireccionar:

10.10.15.21:7777 -> 127.0.0.1:8083

Entonces cuando accedamos a 127.0.0.1:8083 desde Kali Linux accederemos al contenido de la mΓ‘quina Windows.

LogoGitHub - jpillora/chisel: A fast TCP/UDP tunnel over HTTPGitHubchevron-right

hashtag
RCE con ODT File (CVE-2023-2255)

Lo primero que vamos a hacer es crear nuestro 9999.exe y enviarlo al servidor victima (descargandolo con curl). Para luego que este sea ejecutado por el archivo odt.

LogoGitHub - elweth-sec/CVE-2023-2255: CVE-2023-2255 Libre OfficeGitHubchevron-right

Lo siguiente es enviar el archivo *.odt en el formulario para que este sea "ejecutado" en la mΓ‘quina victima.

DespuΓ©s de unos minutos se abre la sesiΓ³n exitosamente, ahora tenemos acceso a office\ppotts πŸ˜‰.

hashtag
Privilege Escalation

hashtag
Obtener SID (Security Identifier)

Ahora utilizamos nuestro SID y nuestro GuidMasterKey:

hashtag
Evil-WinRM

hashtag
GPO Abuse con SharpGPOAbuse

LogoGitHub - byronkg/SharpGPOAbuse: Precompiled executableGitHubchevron-right

Primero descargamos el ejecutable SharpGPOAbuse.exe y lo descargamos en la mΓ‘quina Windows.

AnteriorHTB - FormulaX (Incomplete)SiguienteHTB - Perfection

Última actualización