HackTheBox — Writeup Arctic No /MSF

Israel Aráoz Severiche
4 min readApr 19, 2021

--

Una maquina “media” rara, ¿en que sentido? no se si es algo normal, pero servidor tenia un tiempo de repuesta muy lento, se reinició en varias oportunidades.

Respecto al compromiso inicial , fue relativamente fácil y en el caso de la escalada de privilegio, se escalo privilegios a traves de un exploit de Kernel.

Identificación de puertos y servicios

Se identificaron solo 3 puertos, de los cuales en uno en particular no se identificó la versión del servicio, como había comentado anteriormente, esta maquina presentó problemas de conectividad, supongo que todo se deba hace

El primer puerto en revisar fue el 8500/tcp

Enumeración

Al ingresar via http al puerto 8500, se identificaron dos directorios, uno de ellos muy conocido(CFIDE)

Al ingresar al formulario de inicio de sesión, se observó la versión del portal

Se realizó una busqueda rapida y de identificó que esta version en particular era vulerable.

http://server/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../ColdFusion8/lib/password.properties%00en

Se utilizó el payload, con base en este exploit

Se obtuvo el hash de la contraseña de admin

Se realizó la busque del hash, para ver si estaba asociado alguna contraseña débil

De esta forma se obtuvo acceso al portal de administración de cold fusion.

Acceso Inicial

Se creó un payload que permitió el acceso al equipo.

Para realizar la descarga del archivo, lo primero que se hizo fue crear una tarea programada en cold fusion, para que consulte, descargue y almacena la shell.jsp desde “kali machine” hacia el servidor comprometido.

Se obtuvo el path completo, consultado la opción de “mapping” en el administrador de Cold Fusion, de esta manera se logró almacenar de manera correcta el archivo.

De esta manera se obtuvo privilegios con el usuario Tolis

Escalada de Privilegios

Como siempre se inició por versión del Sistema Operativo, la arquitectura y las actualizaciones de seguridad.

Para esta versión especifica identificó 3 exploit.

Se copio el binario MS10–059.exe desde la “kali machine”, para esto se inicio un servidor smb “fake”

Una vez copiado el archivo se revisó las opciones de comandos y parametros

Para elevar privilegios se debió establecer una segunda conexión reversa, pero esta ya con privilegios de SYSTEM

De esta manera se obtuvo privilegios de SYSTEM

Saludos!

--

--

Israel Aráoz Severiche

{💀Cybersecurity Engineer​​🐞 } / { 🥋​ Purple Belt Brazilian Jiu Jitsu } / {🌐​https://twitter.com/iara0z}