Heist - HackTheBox
Empece haciendo un escaneo con Nmap
para detectar los puertos y servicios que tiene abiertos la máquina
Viendo que hay un servidor web, me dirigí a él.
Tenía un panel de login
, miré el código fuente y me di cuenta de que habían unas rutas que me llamaron mucho la atención.
Accedí a /login.php?guest=true
y encontré una conversación entre el usuario y el admin
, el usuario le dejó un link que tenía otra ruta, mire que tenía.
Tenía unos cuantos hashes, pensé que podrían ser credenciales para el login
de la página principal.
Crackee el primero con john the ripper
.
Valide el usuario hazard
que tenía una conversación con el admin
y la credencial crackeada con crackmapexec
y resulto ser exitosa.
Probé distintos usuarios en el panel de login
pero no hubo suerte, también intenté ver si tenía acceso a algún recurso compartido con smbclient
pero no encontré nada.
Pensé en otra alternativa, intente dumpeear más usuarios con el usuario hazard
y la contraseña crackeada con john
haciendo uso de la herramienta lookupsid.py
.
Me dumpeeo unos cuantos, con los que tenía me cree un diccionario de usuarios para hacer fuerza bruta con otra contraseña crackeada de otro hash
.
Para la fuera bruta hice uso de la herramienta crackmapexec
, me detecto que el usuario Chase
era válido.
Me autentiqué con evil-winrm
y ya pude visualizar la flag del usuario.
ESCALADA DE PRIVILEGIOS
Para la escalada de privilegios encontré procesos de Firefox corriendo en el sistema.
Me transferí la utilidad procdump64.exe
e hice un volcado a un proceso de Firefox.
Al volcado le hice un strings y lo exporte a un archivo llamado cred.txt
, filtre por login.php
y me reporto unas credenciales, probé a validarlas con crackmapexec
haciendo uso del usuario Administrator
.
Dio pwned
eso me permitió acceder con psexec
con los máximos privilegios.
También pude acceder con evil-winrm
.
Leave a comment