HacktheBox — Writeup Chatterbox No/MSF

Israel Aráoz Severiche
3 min readApr 26, 2021

--

Esta maquina tiene sus particularidades, por ejemplo la identificación de puertos fue lo mas complicado, ya que autorecon presentó un par de problemas, para el acceso inicial, se modificó un exploit cambiando la dirección IP y el payload para obtener una conexión reversa.

Para la escalada de privilegio, el primer intento fue a nivel de kernel, pero esta maquina estaba totalmente actualizada, se identificó el puerto 445 habilitado de forma local y se obtuvo credenciales almacenadas en REGEDIT, con esto fue suficiente para escalar privilegios

Identificación de puertos y servicios

Se identificaron un par de puertos, el puerto 9255 y 9256

Enumeración

En esta fase y con información que se obtuvo datos relacionado a los servicios identificados, se obtuvo el siguiente exploit, cabe recalcar que solo habian 2, python y otro para msf

Acceso Inicial

Al revisar el exploit se identificó el payload utilizado en el PoC, este ejecutaba la CALC.exe, se hicieron 2 cambios, el payload y la dirección a la cual realizará la petición vía UDP

Una vez modificado el exploit, se ejecuto y se obtuvo acceso con privilegios del usuario Alfred.

De esta forma se obtuvo acceso al user.txt

Elevación de Privilegio

Para la escalada de privilegio, como siempre, lo primero que hago es verificar el Sistema operativo, la arquitectura y las actualizaciones de seguridad, con el objetivo de verificar si existe algún exploit de kernel para la ejecución local.

Se levanto un smbserver “fake” para copiar el resultado de la ejecución de systeminfo

Al revisar las actualizaciones de seguridad y comprobar un exploit, decidí ir por otro camino.

Fui por el lado de credenciales, y se identificó en regedit

Al realizar la consulta directa, se obtuvo la contraseña de Alfred

se identificó que el puerto 445 estaba habilitado de forma local, esta característica mas las credenciales identificadas, fuimos el camino de remote portforwarding

Se copió plink y se ejecuto para redirigir las solicitudes y paquetes del puerto 445 local desde la maquina “kali machine”

Se conectó y se obtuvo acceso, como se puede observar, con privilegios SYSTEM, al intentar ingresar al archivo, se presento el siguiente mensaje

Realmente no averigüé que paso, esta en mi todolist, intente con otra herramienta y con esta se obtuvo acceso con privilegios de administrator

De esta forma se obtuvo acceso como administrator, reutilizando credenciales.

Saludos!

--

--

Israel Aráoz Severiche

{💀Cybersecurity Engineer​​🐞 } / { 🥋​ Purple Belt Brazilian Jiu Jitsu } / {🌐​https://twitter.com/iara0z}