Información de la máquina.
Contenido | Descripción |
---|---|
OS: | |
Dificultad: | Facil |
Puntos: | 20 |
Lanzamiento: | 18/Marzo/2017 |
IP: | 10.10.10.8 |
Primera sangre de usuario: | adxn37 |
Primera sangre de system: | admin |
Enumeración.
Como siempre comenzaremos con un escaneo a los 65535
puertos de la máquina para poder encontrar cuales son los puertos abiertos.
1
2
3
4
5
6
7
8
9
10
intrusionz3r0@kali:~$ nmap -p- --open -T5 -n -oG nmapScanAllPorts optimum.htb -Pn --min-rate 3000
Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-27 13:57 CDT
Nmap scan report for optimum.htb (10.10.10.8)
Host is up (0.18s latency).
Not shown: 65534 filtered ports
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 44.14 seconds
Una vez terminado el escaneo lanzaremos scripts de enumeración básicos para detectar los servicios y versiones de los puertos abiertos.
1
2
3
4
5
6
7
8
9
10
11
12
intrusionz3r0@kali:~$ nmap -sCV -p80 -oN targeted -Pn optimum.htb
Nmap scan report for optimum.htb (10.10.10.8)
Host is up (0.17s latency).
PORT STATE SERVICE VERSION
80/tcp open http HttpFileServer httpd 2.3
|_http-server-header: HFS 2.3
|_http-title: HFS /
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Thu Aug 27 13:54:17 2020 -- 1 IP address (1 host up) scanned in 13.31 seconds
El escaneo determino lo siguiente:
- Puerto 80 con servicio HttpFileServer versión 2.3.
Como es el único puerto sabemos que los tiros van por aquí,
Enumeración HTTP.
Me dirijo al servicio HTTP con mi navegador y encuentro lo siguiente:
Bien, con solo darle un vistazo podemos darnos cuenta de que la esquina inferior izquierda de la página esta nos proporciona la versión del servicio, aunque nosotros ya la habíamos sacado con nmap.
Consejo: Como atacante todas las versiones de los servicios, gestores de contenido, software, etc valen oro.
Buscado exploit en linea.
Por lo que comenzaremos a buscar si esta versión esta asociada a alguna vulnerabilidad.
Rápidamente realizo una búsqueda en Google y encuentro el siguiente exploit: HttpFileServerRCE.
Una vez descargado comenzamos a analizar el exploit mas detalladamente.
Consejo: Recomiendo siempre revisar los exploit públicos ya que es muy posible de que tengas que modificar algunos parámetros o te muestran la forma en la que se ejecutan.
Riesgos: También es importante revisar los exploit públicos debido a que estos pueden contener sorpresitas dentro.
Si revisamos detenidamente la descripción del exploit vemos que para que la explotación tenga éxito debemos cumplir con ciertos requisitos.
- Tener un servidor en el puerto 80 que comparta el binario de
nc.exe
. - Ejecutar el exploit varias veces.
- Modificar las variables de
ip_addr
ylocal_port
.
Explotación del HFS.
Primero levantare un servidor con python y ejecutare el exploit varias veces hasta obtener una shell.
Shell como el usuario kostas.
1
2
3
4
5
6
7
8
9
10
11
intrusionz3r0@kali:~$ rlwrap nc -lvp 1234
listening on [any] 1234 ...
connect to [10.10.14.20] from optimum.htb [10.10.10.8] 49174
Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.
C:\Users\kostas\Desktop>whoami
whoami
optimum\kostas
C:\Users\kostas\Desktop>
¡¡Eureka!!
Tenemos una shell como el usuario kostas.
Realizando una enumeración básica encontré lo siguiente:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
C:\Users\kostas\Desktop>systeminfo
Host Name: OPTIMUM
OS Name: Microsoft Windows Server 2012 R2 Standard
OS Version: 6.3.9600 N/A Build 9600
OS Manufacturer: Microsoft Corporation
OS Configuration: Standalone Server
OS Build Type: Multiprocessor Free
Registered Owner: Windows User
Registered Organization:
Product ID: 00252-70000-00000-AA535
Original Install Date: 18/3/2017, 1:51:36
System Boot Time: 3/9/2020, 2:26:56
System Manufacturer: VMware, Inc.
System Model: VMware Virtual Platform
System Type: x64-based PC
Processor(s): 1 Processor(s) Installed.
[01]: AMD64 Family 23 Model 1 Stepping 2 AuthenticAMD ~2000 Mhz
BIOS Version: Phoenix Technologies LTD 6.00, 12/12/2018
Windows Directory: C:\Windows
System Directory: C:\Windows\system32
Boot Device: \Device\HarddiskVolume1
System Locale: el;Greek
Input Locale: en-us;English (United States)
Time Zone: (UTC+02:00) Athens, Bucharest
Total Physical Memory: 4.095 MB
Available Physical Memory: 3.483 MB
Virtual Memory: Max Size: 5.503 MB
Virtual Memory: Available: 4.684 MB
Virtual Memory: In Use: 819 MB
Page File Location(s): C:\pagefile.sys
Domain: HTB
Logon Server: \\OPTIMUM
Hotfix(s): 31 Hotfix(s) Installed.
[01]: KB2959936
[02]: KB2896496
[03]: KB2919355
[04]: KB2920189
[05]: KB2928120
[06]: KB2931358
[07]: KB2931366
[08]: KB2933826
[09]: KB2938772
[10]: KB2949621
[11]: KB2954879
[12]: KB2958262
[13]: KB2958263
[14]: KB2961072
[15]: KB2965500
[16]: KB2966407
[17]: KB2967917
[18]: KB2971203
[19]: KB2971850
[20]: KB2973351
[21]: KB2973448
[22]: KB2975061
[23]: KB2976627
[24]: KB2977629
[25]: KB2981580
[26]: KB2987107
[27]: KB2989647
[28]: KB2998527
[29]: KB3000850
[30]: KB3003057
[31]: KB3014442
Network Card(s): 1 NIC(s) Installed.
[01]: Intel(R) 82574L Gigabit Network Connection
Connection Name: Ethernet0
DHCP Enabled: No
IP address(es)
[01]: 10.10.10.8
Hyper-V Requirements: A hypervisor has been detected. Features required for Hyper-V will not be displayed.
El sistema operativo es un Microsoft Windows Server 2012 R2 Standard
y es muy probable de que no tenga parches de seguridad por lo que nuevamente como lo hicimos en el writeup anterior haremos uso de la herramienta: Windows-Exploit-Suggester para encontrar una vulnerabilidad critica.
Exporto la salida del comando systeminfo
a mi máquina y utilizo la herramienta para que comience a buscar una vulnerabilidad.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
intrusionz3r0@kali:~$ ./windows-exploit-suggester.py --database 2020-08-25-mssb.xls --systeminfo sysinfo.txt [56/56]
[*] initiating winsploit version 3.3...
[*] database file detected as xls or xlsx based on extension
[*] attempting to read from the systeminfo input file
[+] systeminfo input file read successfully (ascii)
[*] querying database file for potential vulnerabilities
[*] comparing the 32 hotfix(es) against the 266 potential bulletins(s) with a database of 137 known exploits
[*] there are now 246 remaining vulns
[+] [E] exploitdb PoC, [M] Metasploit module, [*] missing bulletin
[+] windows version identified as 'Windows 2012 R2 64-bit'
[*]
[E] MS16-135: Security Update for Windows Kernel-Mode Drivers (3199135) - Important
[*] https://www.exploit-db.com/exploits/40745/ -- Microsoft Windows Kernel - win32k Denial of Service (MS16-135)
[*] https://www.exploit-db.com/exploits/41015/ -- Microsoft Windows Kernel - 'win32k.sys' 'NtSetWindowLongPtr' Privilege Escalation (MS16-135) (2)
[*] https://github.com/tinysec/public/tree/master/CVE-2016-7255
[*]
[E] MS16-098: Security Update for Windows Kernel-Mode Drivers (3178466) - Important
[*] https://www.exploit-db.com/exploits/41020/ -- Microsoft Windows 8.1 (x64) - RGNOBJ Integer Overflow (MS16-098)
La vulnerabilidad que mas me llama la atención es: MS16-098
ya que esta es un exploit de kernel con un desbordamiento por lo que es probable de que nos arroje una shell como Administrador.
Shell como Administrador.
Rápidamente me voy a Google y encuentro el siguiente exploit: MS16-098.
Lo descargo, me monto un servidor samba compartiendo el bfill.exe
y directamente desde el servidor ejecuto el binario.
¡¡Somos nt authority\system!!
Espero te haya gustado, recuerda seguirme en mis redes sociales para estar al pendiente de todo mi contenido.