Mailing WriteUp Hack The Box
Hey!
Vamos a hackear la máquina “Mailing” de Hack The Box. Esta máquina se centra en vulnerar aplicaciones ofimáticas.
Enumeración
Empezamos enumerando los puertos abiertos que tiene la máquina con nmap.
Como se puede ver, esta máquina tiene múltiples puertos abiertos, pero el más importante es el puerto 25 con Simple Mail Transfer Protocol (SMTP). Este puerto nos revela el Domain Name Server (DNS) “mailing.htb”. Lo añadimos a nuestro archivo /etc/hosts y accedemos a su página web.
Nada más entrar, podemos ver nombres que nos pueden servir más adelante y un botón de “Download Instructions”. Nos descargará un archivo PDF donde se explica cómo conectarse al servidor de correo de “mailing.htb”. Dentro de él no hay mucha información relevante.
Si intentamos interceptar la petición cuando pulsamos el botón, vemos que utiliza código PHP vulnerable.
Explotación
Si modificamos la petición, podemos buscar archivos dentro del sistema que nos permitan acceder sin autorización. Buscaremos el archivo “hMailServer.ini” para obtener las contraseñas del servidor de correo.
Como se ve en la imagen, hemos obtenido el hash de la contraseña del administrador. Para saber cuál es la contraseña, podemos utilizar herramientas como “CrackStation” y obtener la contraseña.
El siguiente paso sería encontrar alguna vulnerabilidad para acceder al sistema con la contraseña que hemos conseguido. Con el siguiente código de Xaitax, podremos obtener ejecución de comandos.
Nos descargamos la prueba de concepto, activamos la aplicación “Responder”, la dejamos en escucha y proporcionamos los parámetros que necesitemos.
Al cabo de un rato, recibimos el hash de la contraseña de Maya.
Desencriptamos el hash con la herramienta “John”.
Y ahora podremos acceder al sistema y conseguir la primera flag.
Escalada de privilegios
Para empezar, miramos qué puede hacer el usuario “Maya”. No puede hacer nada interesante, pero sí puede conectarse al “WinRM”, como hemos visto antes. Sin embargo, si miramos qué aplicaciones tiene instaladas, veremos que está “LibreOffice” y la versión que tiene instalada es vulnerable.
Si buscamos en internet, veremos que existe un CVE para esa versión de LibreOffice. Con este exploit, crearemos un documento malicioso de LibreOffice que nos permitirá ejecutar un comando como root.
Creamos un documento malicioso que ejecute el archivo “nc.exe” para tener una reverse shell como administrador.
Subimos el archivo de nc en la carpeta que hemos indicado anteriormente.
Nos ponemos en escucha, subimos el documento malicioso y recibiremos una shell como administrador.
Esto ha sido todo. ¡Nos vemos en el siguiente post!