# Return
Return es una caja de dificultad fácil basada en impresoras de la plataforma HackTheBox. Esta vez abusaremos del panel de administración web de una impresora para obtener las credenciales de SMB, que también se pueden usar para WinRM. La cuenta está en el grupo Server Operators, lo que le permite modificar, iniciar y detener servicios. Abusaré de esto para obtener un shell como System.
### Reconocimiento
#### NMAP
Comenzamos enumerando los servicios abiertos que tiene la máquina.
```
sudo nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.11.108
```
Una vez realizado un escaneo rápido de los servicios abiertos, volvemos a hacer otro escaneo más profundo de los servicios abiertos.
```
sudo nmap -p80,88,389,593,636,3268,5985,9389,47001,49664,49666,49667,49671,49674,49675,49679,49682,49694 -sV -vv 10.10.11.108
```
La conclusión principal es que se trata de una máquina con Windows que se encuentra dentro de un dominio de Active Directory .
Ya tenemos versiones de los servicios abiertos y el nombre de un dominio. Vamos a registrarlo en el archivo /etc/hosts.
#### RECONOCIMIENTO WEB
Tenemos abierto el puerto 80 que está ejecutando un servidor web Microsoft IIS, así que vamos a verificar su contenido.
Los únicos enlaces que funcionan son las páginas de Inicio y Configuración. Vamos a la página de Configuración, a ver su contenido.
Muestra lo que parece ser una página de configuración para una impresora. Nos dan un nombre de un usuario de svc-printer pero no su contraseña.
La contraseña está codificada, pero tenemos la capacidad de cambiar la dirección del servidor. Vamos a capturar la contraseña dirigiendo la dirección del servidor a un oyente nc.
Tenemos una contraseña 1edFg43012!!
#### ENUMERACIÓN SMB
Como tenemos nombre de usuario y contraseña, vamos a comprobar si tenemos acceso a SMB. Esto podemos comprobarlo con CrackMapExec.
```
crackmapexec smb 10.10.11.108 -u svc-printer -p '1edFg43012!!'
```
Vamos a comprobar también si tenemos acceso mediante WinRM.
También tenemos acceso mediante el protocolo WinRM. \*Necesario tener abierto el puerto 5985.
Vamos a acceder a la máquina objetivo aprovechando que está disponible el protocolo WinRM, y tenemos las credenciales.
### Acceso mediante usuario svc-printer
Vamos a utilizar Evil-WinRM para entablar una shell revresa utilizando las credenciales obtenidas y el protocolo WinRM.
```
evil-winrm -i 10.10.11.108 -u svc-printer -p '1edFg43012!!'
```
Vamos a por la flag user.txt
### Elevación de privilegios
Vamos a ver que privilegios tiene este usuario.
Comprobamos también a que grupos pertenece el usuario svc-printer.
Somos parte del grupo de Server Operators, lo que significa que tenemos control sobre los servicios que se ejecutan dentro de la máquina.
Este usuario puede modificar, iniciar y detener servicios. Si logramos editar un servicio y hacer que ejecute un netcat para nuestro oyente, obtendremos un shell como ntauthority\system.
Así que vamos a empezar cargando el nc.exe en C:\Windows\Temp:
A continuación creamos el servicio que podemos detener e iniciar para ejecutarlo.
A continuación, vamos a detener y reiniciar el servicio.
Al mismo tiempo, pondremos a la escucha un oyente en el puerto 4444.
Próxima parada, buscar la flag root.txt
\*Ojo al tiempo para buscar la flag root, el servicio se desconecta al par de minutos de iniciar.
Esto sería todo. Tenemos resuelta la máquina CTF Return de Hack The Box.
{% embed url="" %}
###
