🟢Arctic
Write-up de la máquina Arctic de HackTheBox #writeup #walkthrough
Last updated
Write-up de la máquina Arctic de HackTheBox #writeup #walkthrough
Last updated
Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima.
Están abiertos los puertos 135, 8500 y 49154 TCP en la máquina objetivo. El siguiente paso es realizar un escaneo más profundo unicamente de los servicios abiertos.
Tres servicios abiertos:
Puerto 135 -> Microsoft Windows RPC
Puerto 8500 -> ?
Puerto 49154 -> Microsoft Windows RPC
Vemos que el puerto 8500 está abierto, pero NMAP no muestra que se está ejecutando, así que vamos a verlo en un navegador web.
Tenemos un directorio abierto ejecutándose en el puerto 8500. Vamos a probar también otros directorios que puedan existir, para ello, inspeccionamos los directorios anteriores.
Después de inspeccionar todos los directorios, llegamos a un panel de administración de Adobe Coldfusion. Por un lado, vamos a analizar el código fuente y por otro, vamos a buscar exploits conocidos para ColdFusion 8.
Al ver el código fuente, podemos ver que hay un valor salt codificado que se agrega a la contraseña cuando se ingresa. Lo anotamos por si fuese interesante más adelante. Vamos a buscar exploits para esta versión.
Para descargar el exploit.
Abrimos el exploit.
Y encontramos lo que parece ser un contraseña cifrada.
Password: 2F635F6D20E3FDE0C53075A84B68FB07DCEC9B03
Vamos a descifrarla con hash-identifier y john-the-ripper.
Obtenemos la contraseña "happyday"
Vamos a acceder al panel de admnistrador como usuario Admin utilizando la password anterior.
El siguiente paso será buscar puntos vulnerables dentro de este panel de administrador.
Hay multitud de enlaces que debemos revisar. Después de realizar la inspección, él único enlace que nos sirve es el servicio "Scheduled Tasks" en la sección "Debugging & Logging", que ofrece ColdFusion y nos permite cargar archivos.
Crearé un shell inverso con extensiónjspusando msfvenom para cargarlo en la máquina objetivo. ¿Por qué? ColdFusion está basado en Java y ejecuta archivos jsp.
Esta shell creada la movemos al directorio /var/www/html/ para poder enviarla a la máquina objetivo mediante un servidor Web Apache.
Primero vamos a buscar la ruta del path /CFIDE. Será necesario para subir la subir al objetivo.
El siguiente paso, cargar la shell en el objetivo. Para ello, iniciamos un servidor web Apache.
Ahora vamos a programar una tarea en ColdFusion para que acceda al archivo securiters.jsp en nuestro servidor y poder cargar la shell. Agregaremos la URL de nuestro servidor donde está alojado el archivo securiters.jsp y también la ruta de destino para guardar el archivo en el objetivo, es decir, C:\ColdFusion8\wwwroot\CFIDE\securiters.jsp
Una vez programada la tarea, procedemos a ejecutarla.
Y volvemos al directorio /CFIDE, comprobando que se haya subido correctamente nuestra shell securiters.jsp.
Establecemos un oyente en nuestra máquina atacante.
Y ya tendriamos shell como usuario tolis. Vamos a por la flag user.txt
Tenemos la siguiente información acerca de la máquina víctima.
Guardamos la información de systeminfo en un archivo txt, nos será útil en la siguiente fase.
Vamos a utilizar Windows-Exploit-Suggester para buscar posibles vulnerabilidades en el sistema de la máquina víctima. Vamos a instalar este script en nuestra máquina atacante.
Y ahora, ejecutamos este script con la base de datos actualizada que se ha creado y el archivo systeminfo que comentabamos anteriormente.
Una vez ejecutado el comando anterior, obtenemos las siguientes vulnerabilidades en la máquina víctima.
Vamos a utilizar la vulnerabilidad MS10-059 para intentar obtener acceso como administrador a la máquina víctima. Descargamos el exploit y lo subimos a la máquina víctima haciendo uso de un servidor Python HTTP.
Ejecutamos el exploit en la máquina víctima, y al mismo tiempo colocamos un oyente en nuestra máquina.
Una vez ejecutado el exploit, tendriamos privilegios máximos en la máquina objetivo. El siguiente psao será buscar la flag root para finalizar este CTF.
Y ya estaría acabado este CTF.
