🟥HTB - Office
https://app.hackthebox.com/machines/Office
Información General
Nombre de la Máquina: Office
IP de la Máquina: 10.129.230.226
Sistema Operativo: Windows
Dificultad: Hard
Fecha de Publicación: 17 Feb 2024
Enumeration
Ping para obtener ruta de retorno
Realizamos un ping a la máquina objetivo para verificar la conectividad y obtener información sobre la ruta utilizando la opción -R para incluir la ruta de retorno:
El valor de TTL (Time To Live) igual a 127 puede ser indicativo de que el sistema operativo de la máquina objetivo es Windows. El TTL es un valor en el campo de los paquetes IP que indica la duración que un paquete puede estar en una red antes de ser descartado. Windows establece por defecto el valor de TTL de sus paquetes IP en 128, que al pasar por un salto en la red se decrementa a 127.
Escaneo de puertos con Nmap
Luego, realizamos un escaneo de puertos utilizando Nmap para identificar los puertos abiertos en la máquina objetivo. Utilizamos las opciones -p- para escanear todos los puertos, --open para mostrar solo los puertos abiertos, -sS para un escaneo de tipo TCP SYN, --min-rate 5000 para establecer la velocidad mínima de paquetes y -vvv para un nivel de verbosidad alto. Además, utilizamos -n para desactivar la resolución de DNS, -Pn para no realizar el escaneo de ping, y -oG allPorts para guardar la salida en un archivo con formato Greppable para luego utilizar nuestra función extractPorts:
Escaneo detallado con Nmap
Posteriormente, realizamos un escaneo más detallado de los puertos identificados utilizando la opción -sCV para detección de versiones y scripts de enumeración de servicios. Específicamente, indicamos los puertos a escanear con -p __PORTS__ (reemplazando __PORTS__ con los puertos identificados en el paso anterior) y guardamos la salida en un archivo de texto con el nombre targeted:
Modificando /etc/hosts
Para añadir la entrada "10.129.230.226 office.htb" al archivo /etc/hosts, puedes usar el siguiente comando en la terminal:
Enumeration en Joomla
Explotación de CVE-2023-23752
Entonces podemos ver que se trata de Joomla 4.2.7, y en Google encuentro esto: CVE-2023-23752 - Joomla Improper Access Check.
En este WriteUp puedes encontrar más información de este CVE. HTB - Devvortex
Descubrimiento de Usuarios / Password Bruteforce
Podemos utilizar kerbrute y ver si encontramos algunos usuarios, para luego ver a cual de ellos le corresponde la contraseña que encontramos.
Cliente SMB (Impacket)
Obteniendo Kerberos Pre-Auth Packets con Wireshark
Más informacion en https://vbscrub.com/2020/02/27/getting-passwords-from-kerberos-pre-authentication-packets/.
Accedemos como Administrator en Joomla
Modificamos algún archivo para subir nuestra shell. En este caso yo subir un uploader y luego la shell.
Meterpreter Reverse_TCP Shell
RunasCs y Meterpreter Shell como Tstark
Lo que deseamos hacer es ejecutar mediante RunasCs nuestro 7777.exe, para que este se ejecute desde el usuario Tstark para así acceder a su cuenta.
Port forwarding con Chisel
Deseamos acceder a la ruta 127.0.0.1:8083 de la máquina Windows desde nuestra máquina Kali Linux para ello debemos redireccionar:
10.10.15.21:7777 -> 127.0.0.1:8083
Entonces cuando accedamos a 127.0.0.1:8083 desde Kali Linux accederemos al contenido de la máquina Windows.
RCE con ODT File (CVE-2023-2255)
Lo primero que vamos a hacer es crear nuestro 9999.exe y enviarlo al servidor victima (descargandolo con curl). Para luego que este sea ejecutado por el archivo odt.
Lo siguiente es enviar el archivo *.odt en el formulario para que este sea "ejecutado" en la máquina victima.
Después de unos minutos se abre la sesión exitosamente, ahora tenemos acceso a office\ppotts 😉.
Privilege Escalation
Obtener SID (Security Identifier)
Ahora utilizamos nuestro SID y nuestro GuidMasterKey:
Evil-WinRM
GPO Abuse con SharpGPOAbuse
Primero descargamos el ejecutable SharpGPOAbuse.exe y lo descargamos en la máquina Windows.
Última actualización
¿Te fue útil?