HackTheBox — Writeup Granny NO/MSF

Israel Aráoz Severiche
4 min readApr 19, 2021

--

El acceso inicial , fue relativamente sencillas, se realizo un bypass debido al tipo de archivo que estaba permitido subir, según la versión del IIS, al pasar el bypass, se subió la webshell y lo demás…

La elevación de privilegios fue media “tricky” debido a que se identificaron exploit a nivel de kernel sin embargo no funciono, al final del túnel se observo que era vulnerable solo se tenia que hacer un pequeño puente.

Identificación de puertos y servicios

En el proceso de identificó un solo servicio HTTP

Como se puede observar en la imagen anterior.

Enumeración

En este fase se identificó que el servidor contaba con webdav habilitado y un método considerado peligroso, el famoso …PUT

Se realizó una Poc para confirmar que realmente se pueda subir un archivo

Efectivamente permitió subir un archivo.

Se intentó subir un archivo con la extension asp, esto presentaba el siguiente error.

Se identificó la forma de bypass

Básicamente, fue agregar un ;.txt al final de la extensión

Pero no logre que la web shell ejecute los comandos.

Luego intente otro método, esta vez cambiando la extensión a aspx y funcionó, primero se subió un archivo aspx, con extensión txt ,posteriormente se realizo un “renombre “ del archivo *.txt a *.aspx.

Con esto, ya se ejecutaba comandos a nivel del sistema operativo.

Acceso Inicial

Para el acceso inicial, se ejecuto nc, desde la maquina del atacante ,para esto se inicio un servidor SMB “fake” desde el directorio donde se encontraba los binarios de windows y en la maquina Kali se dejo un NC a la escucha, esperando una conexión reversa.

Escalada de Privilegio

Para la escalada de privilegios, como siempre, se inició identificando la versión del Sistema Operativo, la arquitectura y las actualizaciones de seguridad.

En este proceso de identificaron 2 exploit, los cuales no funcionaron.

Desiste de esa técnica de escalada de privilegio, continuando con la enumeración, se identificó que el puerto 445 estaba activo pero de forma local

Se utilizó remote port forwarding, para que atraves de la conexion y el puerto local de la maquina de kali se llegue al puerto 445 del Sistema Operativo Windows, se realizó una copia de plink.exe

me dio problemas con el puerto 22, realice un cambio en el archivo /etc/ssh/sshd_config, cambiando de puerto

Se verifico que sea vulnerable a la ip 127.0.0.1 al puerto 445 que redirigía la consulta al Windows Server

Se identificó que la versión del Sistema Operativo era vulnerable a MS17–010- EternalBlue, utilizando el siguiente exploit , se escalo privilegios

Se realizó la siguiente modificación al “paylaod” que ejecutó el exploit.

Nc.exe en el directorio c:\Windows\temp fue previamente descargado

De esta forma se obtuvo privilegios de SYSTEM, que permitió el acceso al archivo user.txt

y al archivo root.txt

Saludos!

--

--

Israel Aráoz Severiche

{💀Cybersecurity Engineer​​🐞 } / { 🥋​ Purple Belt Brazilian Jiu Jitsu } / {🌐​https://twitter.com/iara0z}