October 3, 2022 3 min to read

Grandpa - HackTheBox

🤖​En esta ocasión estamos ante una máquina Windows de nivel Easy, en la que tendremos que explotar una vulnerabilidad del servidor IIS de Microsoft y escalaremos privielgios a través de un exploit local, y todo usando metasploit. Es una máquina sencilla y perfecta para quienes empiezan en el mundo del CTF y de la Ciberseguridad🤖​.

Un pequeño INDICE

1. Reconocimiento.
   • Reconocimiento de Puertos.
2. Enumeración.
   • Enumeración Web.
3. Explotación.
   • Metasploit.
4. Escalada de Privilegios.
   • kitrap0d.

Reconocimiento #

Reconocimiento de Puertos 📌

Como de costumbre comienzo lanzando la utilidad Whichsystem para averiguar ante que sistema operativo me enfrento.

Una vez que sabemos que nos enfrentamos a una máquina Windows ya procedo a enumerar puertos.

PORT   STATE SERVICE
80/tcp open  http

En principio solo encuentro el puerto 80 (http) abierto, pero necesito algo más de información sobre este puerto, para saber que servicio y versión se ejecuta en el mismo.

PORT   STATE SERVICE VERSION
80/tcp open  http    Microsoft IIS httpd 6.0
| http-methods: 
|_  Potentially risky methods: TRACE COPY PROPFIND SEARCH LOCK UNLOCK DELETE PUT MOVE MKCOL PROPPATCH
|_http-title: Under Construction
| http-webdav-scan: 
|   Server Type: Microsoft-IIS/6.0
|   Public Options: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
|   WebDAV type: Unknown
|   Server Date: Mon, 03 Oct 2022 20:46:41 GMT
|_  Allowed Methods: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
|_http-server-header: Microsoft-IIS/6.0
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Servidor Web IIS httpd 6.0

Enumeración #

Enumeración Web 📌

Sabemos que se ejecuta en el puerto 80 el servuidor web IIS httpd 6.0, asique voy a abrir el navegador para ver que tenemos.

Por lo que veo el servidor web aún está en desarrollo, pero antes de seguir voy a buscar vulnerabilidades y algún exploit en el servidor web a través de la herramienta searchsploit.

Hay una vulnerabilidad que me interesa.

Microsoft IIS 6.0 - WebDAV ‘ScStoragePathFromUrl’ Remote Buffer Overflow

Tenemos un exploit en python o podemos explotarla a través de metasploit.

Explotación #

Metasploit 🔥

En mi caso esta vez voy a usar metasploit.

Ya tenemos acceso al sistema.

Una vez dentro enumero procesos para intentar migrarme a algún proceso que se ejecute por parte de otro usuario y así intentar escalar privilegios.

Me migro a un proceso ejecutado por NT AUTHORITY\NETWORK SERVICE.

Ahora soy ese usuario, de forma que intentaré leer la flag de usuario.

Al acceder al directorio de Usuario del propio usuario Harry me da error, acceso denegado, asique debemos escalar privilegios.

Escalada de Privilegios #

kitrap0d 👽

En este caso podría probar a usar SharpHound pero voy a lanzar desde metasploit el exploit-suggester para buscar algun exploit que pueda usar para escalar privilegios aprovechándome de alguna vulnerabilidad existente.

Lanzo el exploit y me arroja una lista de exploits que a los que el ssistema es vulnerable.

Usaré el siguiente:

windows/local/ms10_015_kitrap0d

Lo lanzo y ya soy Administrador, puedo leer las flag user y root.

Una máquina sencilla para quien comienza en el mundo CTF y de ciberseguridad.