HackTheBox — Writeup Bounty No/MSF

Israel Aráoz Severiche
3 min readApr 22, 2021

En mi opinión personal, creo que la escalada fue mas fácil que identificar que el acceso inicial, se obtuvo acceso saltando las restricciones por tipo de archivo, se identificó que se podía subir archivos web.Config y con esto hacer un RCE, la escalada de privilegios fue a traves de un privilegio especifico del usuario al cual se obtuvo acceso.

Identificación de Puertos y Servicios

Se identificó el puerto 80 habilitado, unico puerto

Enumeración

En la fase de Enumeración, se identificaron dos archivos particulares

El primero, que permitía subir tipo de archivos específicos.

Intente subir al menos archivos *.txt, *.aspx

Se verificó que se suban archivos tipo jpg

Se subio sin saltar las restricciones archivo web.config, a manera de PoC se ejecuto un comando en particular obteniendo resultados

Acceso Inicial

Para obtener acceso inicial se descargó primero nc utilizando certutil

Luego se ejecutó el archivo web.config para que este a su vez ejecute nc y asi poder obtener una conexión reversa.

De esta forma se obtuvo acceso inicial

Elevación de Privilegios

Como siempre en la escalada de privilegios se identificó la versión del sistema operativo, la arquitectura y las actualizaciones de seguridad.

Se intento utilizar el exploit MS10–059

No funcionó

Se identificaron privilegios asociados al usuario que permitió utilizar JuicyPotato

Se copió

Se ejecuto Juicypotato y se obtuvo una conexión reversa.

De esta manera se escalo privilegios a SYSTEM

--

--

Israel Aráoz Severiche

{💀Cybersecurity Engineer​​🐞 } / { 🥋​ Purple Belt Brazilian Jiu Jitsu } / {🌐​https://twitter.com/iara0z}