🛰️
Config-17 Space
  • 1️⃣Introducción
  • 👨‍💻¿Quien soy?
  • 👨‍🎓Recomendaciones de cursos y formación
  • 🤖Máquinas
    • 📦Hack The Box
      • 👨‍🏫Introducción a HTB
      • 🐧HTB Linux
        • Easy
          • 🏳️Irked
          • 🏳️Squashed
          • 🏳️OpenAdmin
          • 🏳️Late
          • 🏳️Teacher
        • Medium
          • 🏁Investigation
          • 🏁BroScience
      • 🪟HTB Windows
        • Easy
          • 🏳️Bastion
          • 🏳️Artic
          • 🏳️Active
          • 🏳️Optimum
          • 🏳️Granny
          • 🏳️Grandpa
          • 🏳️Devel
        • Medium
          • 🏁Fuse
          • 🏁Jeeves
      • ♨️HTB Other OS
        • 🏁Schooled
    • 💻Máquinas Locales
      • 🥷Metasploitable 2
      • 🐝Bee Box bWAPP
      • 🕸️DVWA
Con tecnología de GitBook
En esta página
  • 1. Enumeración y descubrimiento
  • 2. Explotación
  • 3. Escalada de privilegios Root

¿Te fue útil?

  1. Máquinas
  2. Hack The Box
  3. HTB Windows
  4. Easy

Bastion

AnteriorEasySiguienteArtic

Última actualización hace 2 años

¿Te fue útil?

Datos
Notas

Nombre de la máquina:

IP de la máquina:

10.10.10.134

Sistema simulado:

Windows Server 2008

Servicio vulnerado:

SMB

CVEs:

1. Enumeración y descubrimiento

Comenzamos el ejercicio realizando una fase de enumeración sobre la máquina, en la cual encontramos en la IP 10.10.10.134 mediante NMAP un servicio SMB. 

nmap -A 10.10.10.134

En este punto utilizaremos la herramienta SMBCLIENT para listar los servicios disponibles en la máquina.

smbclient --list 10.10.10.134 -U

Accedemos al SMB y listamos los archivos dentro de "Backups".

Observamos que está el archivo "note.txt" el cual nos llama la atención y nos decargamos usando get note.txt .Al ver el archivo nos enteramos de lo siguiente:

Seguimos analizando el fichero Backup llegando a los archivos VHD del backup.

2. Explotación

En este paso montaremos el backup en nuestro sistema de cara a intentar dumpear las credenciales.

En este punto accedemos hasta le directorio config hasta llegar a SAM.

USaremos la herramientasamdump2 de cara a recuperar la contraseña del usuario

Una vez tenemos la contraseña nos conectaremos por SSH y acederemos a la flag del usuario.

3. Escalada de privilegios Root

Tras realizar una investigación de los diferentes archivos que se encuentran en los directorios nos encontramos que este usuario tiene “mRemoteNG” instalado en su PC.

Allí encontraremos un archivo que puede contener información de configuración relevante.

Nos descargaremos en este punto el archivo confCons.xml para examinarlo. Dentro del XML observamos que el fichereo se utiliza para conectar en RDP como administrador.

Ya con la contraseña nos conectamos como administradores a la máquina y visualizamos la flag.

En este momento mediante extraeremos la contraseña

Revisamos la contraseña, la cual parece estar en Base64. Al intentar desencriptarla con no lo conseguimos, es por ello que buscamos cual es el modo de desencriptado de la contraseña de mRemoteNG. Encontramos que existe una herramienta en Python llamada con la cual desencriptamos la contraseña.

En ocasiones la herramienta mRemoteNG Decrypt da fallos, sobre todo si no se utiliza correctamente. Te recomiendo ver el sobre la herramienta en caso de que te de problemas.

Si te he ayudado sígueme y apóyame en

🤖
📦
🪟
🏳️
crackstation
CyberChef
mRemoteNG Decrypt
blog de vk9-sec
Hack The Box
Bastion