Write Up Responder.

in Road to OSCP. on Easy, Genin, Linux, HTB, WinRM, Web, Network, Custom-Applications, Directory-traversal, Protocols, XAMPP, SMB, Responder, PHP, Reconnaissance, Password-Cracking, Hash-Capture, RFI, RCE, eJPTv2
Write Up Responder.
  1. Reconnaissance
    1. nmap
    2. Services and Versions
  2. Vulnerability Analysis
    1. HTTP TCP-80
      1. LFI
      2. RFI and RCE
  3. Exploitation
    1. WINRM TCP-5985

Reconnaissance

nmap

Utilizando nmap, comprobamos qué puertos están abiertos.

nmap --open -p- -Pn -n -T4 -vvv -n 10.129.221.126 -oN allports

list

Services and Versions

nmap -sVC -Pn -n -p80,5985,7680 10.129.221.126 -oN target

list

Vulnerability Analysis

HTTP TCP-80

En el puerto 80 se encuentra una página web. Al revisar más a fondo, no encontramos contenido relevante exepto un dominio unika.htb que meteremos al.

list

Agregamos el dominio unika.htb al /etc/hosts.

list

Se carga la pagina normalmente.

LFI

Cuando cambiamos de idioma en la página, vemos que hay un parámetro en la URL llamado page, lo cual es un poco curioso. Por lo general, esto puede ser vulnerable a LFI. Haciendo unas pequeñas pruebas, confirmamos que es vulnerable y probamos la ruta C:\Windows\System32\drivers\etc\hosts que es el /etc/hosts de windows.

list

Vemos la ruta donde se guarda los nombres de hosts de windows.

RFI and RCE

Ademas de eso la maquina es vulnerables a RFI y RCE porque haciendo pruebas y creando script con una reverse-shell pero esto no nos sirve de nada porque solo nos convertimos wn el usuario www-data pero podemos explotar el RFI ya que con Responder o SMBServer, podemos ponernos a la escucha e intencertar el hash NTLMv2-SSP.

list

Esplotamos el RFI.

list

A la escucha con responder.

Exploitation

Para explotar esta vulnerabilidad debemos desde la la web incluir la IP desde donde se esta ala escucha con el responder.

list

Hash NTLMv2-SSP.

Esto tambien lo podemos hacer com smbserver.

list

Hash NTLMv2-SSP.

Con el hash lo que podemos hacer es tratar de crackearlo con hascat o john the ripper.

list

Una vez con el hash, lo crackeamos con Hashcat o John the Ripper, y la clave resultante es badminton.

Ahora con las credenciales vamos al puerto 5985 que eta abierto y este es del servicio WinRM de windows esto lo hacemos con EvilWinrm.

WINRM TCP-5985

Con las credenciales adecuadas y el puerto de WinRM abierto, podemos conectarnos al servicio de WinRM.

evil-winrm -i 10.129.221.126 -u 'Administrator' -p 'badminton'

list

La flag esta en el escritorio de mike.

list

Vemos la flag.

En el siguiente enlace te dejo el LFI.py un scripto python que es capaz de hacer el LFI de forma automática para no perder mucho timpo y busca archivos con informacion interesante.

🎉 Felicitaciones ya has comprometido Resporder de HackTheBox 🎉

Back to Starting-Point

Back to Certification eJPTv2