Heist - HackTheBox

Empece haciendo un escaneo con Nmap para detectar los puertos y servicios que tiene abiertos la máquina

Viendo que hay un servidor web, me dirigí a él.

Tenía un panel de login, miré el código fuente y me di cuenta de que habían unas rutas que me llamaron mucho la atención.

Accedí a /login.php?guest=true y encontré una conversación entre el usuario y el admin, el usuario le dejó un link que tenía otra ruta, mire que tenía.

Tenía unos cuantos hashes, pensé que podrían ser credenciales para el login de la página principal.

Crackee el primero con john the ripper.

Valide el usuario hazard que tenía una conversación con el admin y la credencial crackeada con crackmapexec y resulto ser exitosa.

Probé distintos usuarios en el panel de login pero no hubo suerte, también intenté ver si tenía acceso a algún recurso compartido con smbclient pero no encontré nada.

Pensé en otra alternativa, intente dumpeear más usuarios con el usuario hazard y la contraseña crackeada con john haciendo uso de la herramienta lookupsid.py.

Me dumpeeo unos cuantos, con los que tenía me cree un diccionario de usuarios para hacer fuerza bruta con otra contraseña crackeada de otro hash.

Para la fuera bruta hice uso de la herramienta crackmapexec, me detecto que el usuario Chase era válido.

Me autentiqué con evil-winrm y ya pude visualizar la flag del usuario.

---

ESCALADA DE PRIVILEGIOS

Para la escalada de privilegios encontré procesos de Firefox corriendo en el sistema.

Me transferí la utilidad procdump64.exe e hice un volcado a un proceso de Firefox.

Al volcado le hice un strings y lo exporte a un archivo llamado cred.txt, filtre por login.php y me reporto unas credenciales, probé a validarlas con crackmapexec haciendo uso del usuario Administrator.

Dio pwned eso me permitió acceder con psexec con los máximos privilegios.

También pude acceder con evil-winrm.