🏁Fuse

Datos		Notas
Nombre de la máquina:	Fuse
IP de la máquina:	10.10.10.193
Sistema simulado:	Windows Server 2016
Servicio vulnerado:	Paper Cut
CVEs:

1. Enumeración y descubrimiento

Comenzamos el ejercicio realizando un escaneo de los puertos desplegados en la máquina Fuse

Accedemos a la página web y nos encontramos la aplicación PaperCut.

Pulsando los diferentes días encontramos las diferentes impresiones que han sido realizadas y, con ello, algunos usuarios que se encuentran visibles para nosotros y los cuales recogeremos en un archivo por si fusen útiles más adelante.

Revisando los documentos que han sido impresos nos encontramos el fichero “Fabricorp01” impreso por el usuario “Sthompson”, la cual nos puede dar una pista acerca de la posible contraseña.

Utilizando la herramienta “crackmapexec” buscamos sobre nuestra lista de usuarios la contraseña y encontramos que es la contraseña de los usuarios “bnielson”, “tlavel” y “bhult”.

Al tratar de iniciar sesión con el usuario “bhult”, la respuesta indica que la contraseña debe ser cambiada, por lo que cambiaremos la contraseña de “Fabricorp01” a “Paper2!”.

Nos percatamos de que, a los pocos segundos de realizar cualquier acción, la contraseña se cambia sola. Por ello, elaboramos un pequeño script que cambiará la contraseña automáticamente para conseguir ejecutar el comando smbmap.

No encontramos gran cosa en el SMB por lo que vamos a intentar conectarnos al servicio RCP. Volvemos a ejecutar el script y ejecutamos el comando. Esto hace posible encontrar el nombre de algunos usuarios:

Utilizamos el comando enumprinters para enumerar las impresoras y nos encontramos con la contraseña de la misma además de su modelo, que es “$fab@s3Rv1ce$1”.

Intentamos realizar un smbmap sobre el usuario que nos aparece con la contraseña, pero no es posible acceder.

Es por ello que generamos una lista de usuarios con todos los conocidos hasta el momento y probamos mediante crackmapexec si encontramos alguno que pueda acceder. El usuario “svc-print” nos permite acceder con la contraseña. Accedemos al SMB y no vemos información relevante. Es por ello que pasamos a comprobar si algún usuario podría acceder con la contraseña a una sesión por Evil-WinRM y “svc-print” parece dar acceso.

Iniciamos una Shell con Evil-WinRM con svc-print con la contraseña.

Con esto obtendríamos la flag y pasaríamos a la elevación de privilegios.

2. Escalada de privilegios

Comenzamos la escalada de privilegios investigando qué privilegios tenemos actualmente.

Tras una investigación, nos percatamos de que SeLoadDriverPrivilege puede ser vulnerado y analizamos la existencia de un paper por parte de la empresa Tarlogic que muestra cómo hacerlo. En primer lugar, nos hacemos con el Driver vulnerable, así como con la herramienta EoPLoadDriver que nos servirá, tras compilarlo, para poder conseguir acceso.

Es muy importante para la realización de esta máquina estudiar la PoC de Tarlogic sobre el SeLoadDriverPrivilege.

Debemos de crear, con msfvenom, una revershell para Windows que apunte a nosotros.

Esta revershell la subimos a la máquina para poder ejecutarla, ya que hemos modificado el driver malicioso para abrir este fichero y generarnos una revershell.

En este momento tendremos varios archivos correctamente configurados en un directorio de la máquina.

Ejecutaremos el exploit que hemos compilado para que se suba el driver vulnerable y aprovecharnos de una vulnerabilidad para abrir una revershell en nuestra máquina.

Si esto funciona correctamente, obtendremos la revershell con privilegios en nuestra máquina, finalizando con ello la escalada de privilegios.

Si te he ayudado sígueme y apóyame en Hack The Box