RODGAR
  • Whoami
  • ACTIVE DIRECTORY
    • HackTheBox Scrambled
    • HackTheBox Forest
    • HackTheBox Escape
    • HackTheBox Authority
    • HackTheBox Support
    • HackTheBox Return
    • HackTheBox Timelapse
    • HackTheBox Administrator
    • HackTheBox Cicada
    • ⛔HackTheBox Vintage
    • HackTheBox Sauna
    • HackTheBox Active
  • CTF WRITEUP's
    • TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • VulnHub
      • Inferno
      • Election
      • SYMFONOS 3
      • SYMFONOS 2
      • DJinn-3
      • Durian 1
      • DarkHole 2
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • Hackmyvm
      • Hackmyvm UP
    • Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
  • Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • Shared Files
    • Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • Share Linux
      • Compartir de linux en [PHP]
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • Group 1
    • Recursos
Con tecnología de GitBook
En esta página
  • Onesixtyone
  • Snmpwalk
  • Hydra
  • Evil-winrm
  • Escalada de Privilegios
  1. CTF WRITEUP's
  2. TryHackme

TryHackme Year of the Owl

El búho tonto se sienta en su trono...

AnteriorTryHackme BlogSiguienteTryHackme Wgel CTF

Última actualización hace 1 año

Hoy vamos a resolver esta maquina que la dificultad hard.

Primeramente lo tipico usando nmap para ver los puertos que estan abiertos en la maquina.

# Nmap 7.94SVN scan initiated Wed Nov 22 17:40:29 2023 as: nmap -sCV -p80,139,443,445,3306,3389 -oN target.txt 10.10.64.125
Nmap scan report for 10.10.64.125
Host is up (0.16s latency).

PORT     STATE SERVICE       VERSION
80/tcp   open  http          Apache httpd 2.4.46 ((Win64) OpenSSL/1.1.1g PHP/7.4.10)
|_http-title: Year of the Owl
|_http-server-header: Apache/2.4.46 (Win64) OpenSSL/1.1.1g PHP/7.4.10
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
443/tcp  open  ssl/http      Apache httpd 2.4.46 ((Win64) OpenSSL/1.1.1g PHP/7.4.10)
|_http-server-header: Apache/2.4.46 (Win64) OpenSSL/1.1.1g PHP/7.4.10
|_http-title: Year of the Owl
| ssl-cert: Subject: commonName=localhost
| Not valid before: 2009-11-10T23:48:47
|_Not valid after:  2019-11-08T23:48:47
| tls-alpn: 
|_  http/1.1
|_ssl-date: TLS randomness does not represent time
445/tcp  open  microsoft-ds?
3306/tcp open  mysql?
| fingerprint-strings: 
|   Kerberos, LANDesk-RC, LDAPBindReq, NCP, NULL, RPCCheck, RTSPRequest, TLSSessionReq, TerminalServerCookie, WMSRequest, ms-sql-s, oracle-tns: 
|_    Host 'ip-10-9-66-247.eu-west-1.compute.internal' is not allowed to connect to this MariaDB server
3389/tcp open  ms-wbt-server Microsoft Terminal Services
|_ssl-date: 2023-11-22T17:41:31+00:00; +8s from scanner time.
| ssl-cert: Subject: commonName=year-of-the-owl
| Not valid before: 2023-11-21T17:29:39
|_Not valid after:  2024-05-22T17:29:39
| rdp-ntlm-info: 
|   Target_Name: YEAR-OF-THE-OWL
|   NetBIOS_Domain_Name: YEAR-OF-THE-OWL
|   NetBIOS_Computer_Name: YEAR-OF-THE-OWL
|   DNS_Domain_Name: year-of-the-owl
|   DNS_Computer_Name: year-of-the-owl
|   Product_Version: 10.0.17763
|_  System_Time: 2023-11-22T17:40:51+00:00
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port3306-TCP:V=7.94SVN%I=7%D=11/22%Time=655E3D0E%P=x86_64-pc-linux-gnu%
SF:r(NULL,68,"d\0\0\x01\xffj\x04Host\x20'ip-10-9-66-247\.eu-west-1\.comput
SF:e\.internal'\x20is\x20not\x20allowed\x20to\x20connect\x20to\x20this\x20
SF:MariaDB\x20server")%r(RTSPRequest,68,"d\0\0\x01\xffj\x04Host\x20'ip-10-
SF:9-66-247\.eu-west-1\.compute\.internal'\x20is\x20not\x20allowed\x20to\x
SF:20connect\x20to\x20this\x20MariaDB\x20server")%r(RPCCheck,68,"d\0\0\x01
SF:\xffj\x04Host\x20'ip-10-9-66-247\.eu-west-1\.compute\.internal'\x20is\x
SF:20not\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%
SF:r(TerminalServerCookie,68,"d\0\0\x01\xffj\x04Host\x20'ip-10-9-66-247\.e
SF:u-west-1\.compute\.internal'\x20is\x20not\x20allowed\x20to\x20connect\x
SF:20to\x20this\x20MariaDB\x20server")%r(TLSSessionReq,68,"d\0\0\x01\xffj\
SF:x04Host\x20'ip-10-9-66-247\.eu-west-1\.compute\.internal'\x20is\x20not\
SF:x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(Kerb
SF:eros,68,"d\0\0\x01\xffj\x04Host\x20'ip-10-9-66-247\.eu-west-1\.compute\
SF:.internal'\x20is\x20not\x20allowed\x20to\x20connect\x20to\x20this\x20Ma
SF:riaDB\x20server")%r(LDAPBindReq,68,"d\0\0\x01\xffj\x04Host\x20'ip-10-9-
SF:66-247\.eu-west-1\.compute\.internal'\x20is\x20not\x20allowed\x20to\x20
SF:connect\x20to\x20this\x20MariaDB\x20server")%r(LANDesk-RC,68,"d\0\0\x01
SF:\xffj\x04Host\x20'ip-10-9-66-247\.eu-west-1\.compute\.internal'\x20is\x
SF:20not\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%
SF:r(NCP,68,"d\0\0\x01\xffj\x04Host\x20'ip-10-9-66-247\.eu-west-1\.compute
SF:\.internal'\x20is\x20not\x20allowed\x20to\x20connect\x20to\x20this\x20M
SF:ariaDB\x20server")%r(WMSRequest,68,"d\0\0\x01\xffj\x04Host\x20'ip-10-9-
SF:66-247\.eu-west-1\.compute\.internal'\x20is\x20not\x20allowed\x20to\x20
SF:connect\x20to\x20this\x20MariaDB\x20server")%r(oracle-tns,68,"d\0\0\x01
SF:\xffj\x04Host\x20'ip-10-9-66-247\.eu-west-1\.compute\.internal'\x20is\x
SF:20not\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%
SF:r(ms-sql-s,68,"d\0\0\x01\xffj\x04Host\x20'ip-10-9-66-247\.eu-west-1\.co
SF:mpute\.internal'\x20is\x20not\x20allowed\x20to\x20connect\x20to\x20this
SF:\x20MariaDB\x20server");
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required
|_clock-skew: mean: 7s, deviation: 0s, median: 7s
| smb2-time: 
|   date: 2023-11-22T17:40:52
|_  start_date: N/A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Nov 22 17:41:25 2023 -- 1 IP address (1 host up) scanned in 56.19 seconds

Ahora utilizando nmap lanzamos para ver que versiones y servicios corren para esos puertos que tenemos abiertos.

Si vamos al puerto 80 donde corre la pagina web, no nos topamos con mucho.

Onesixtyone

  • Qu es Onesixtyone es un escáner de SNMP que envía múltiples peticiones SNMP a varias direcciones IP, tratando de detectar dispositivos que responden a los nombres de comunidades conocidas y a la espera de respuestas. Tambien puede montar un ataque de diccionario contra uno o más dispositivos SNMP.

  • Lo primero es descubrir la “cadena de comunidad” que utiliza SNMP para la verificación.

Snmpwalk

Este resultado es un poco confuso, pero en esencia, tenemos 5 cuentas. De estos, sólo uno (Jareth) no es el predeterminado, así que centrémonos en esta cuenta de ahora en adelante.

Hydra

Ahora que ya tenemos un usuario vamos a usar Hydra para ver si crackeamos la contraseña para este usuario, lo lanzamos y esperamos entre unos tres o cinco minutos y logramos encontrar la contraseña.

Evil-winrm

Ahora haciendo uso de Evil-winrm y ya teniendo un usuario y la contraseña para este usuario nos conectamos a la maquina victima, si hacemos un whoami somo jareth.

Ahora ya dentro del sistema, vamos por nuestra primera flag y seguimos ahora vamos a buscar la forma de escalar privilegios y pasar de ser jareth al administrator del sistema.

Escalada de Privilegios

El privilegio de esta caja se hace bastante más difícil por el hecho de que hay un software antivirus activo y coleando en el sistema.

Estamos haciendolo manualmente.

Diferencias de pensamiento entre Windows y Unix: ¿cuál es la diferencia en cómo el sistema operativo maneja las solicitudes de eliminación?

Con Unix es una desconexión directa sin un método fácil de recuperación. En Windows, los archivos se desvinculan, pero se mantiene un identificador en la Papelera de reciclaje hasta que se sobrescribe el archivo; es decir, los archivos son muy fáciles de recuperar.

Esto sería trivial si tuviéramos acceso a la GUI; sin embargo, tal como están las cosas, estamos atrapados en la CLI. Después de experimentar durante el desarrollo de este cuadro, descubrí que los archivos reciclados para cada usuario se pueden encontrar en , donde SID es para usuarios individuales.C:\$Recycle.bin\<SID>

Sin acceso de administrador no podemos ver el SID de nadie más, así que centrémonos en el nuestro.

Aquí hay copias de seguridad de los subárboles de registro SAM y SYSTEM, lo que significa que tenemos todo lo que necesitamos para el clásico privilegio de usarlos para volcar los hash de contraseña de cada cuenta de usuario en el sistema.

Necesitamos descargar estos archivos. Afortunadamente, evil-winrm tiene un downloadcomando precisamente para este propósito. Desafortunadamente, no funcionará cuando estén en la Papelera de reciclaje, por lo que primero los copiamos en una ubicación temporal

Ahora ya teniendo los subárboles de registro SAM y SYSTEM en nuestra maquina atacante ya que previamente nos los hemos descargado de la maquina victima.

Ahora vamos por nuestros hashes del sistema aquí tenemos los hashes NT y LM de todas las cuentas de usuario del sistema. Por supuesto, lo que más nos interesa es la cuenta de Administrador

Ahora ganemos acceso nuevamente al sistema pero ahora como administrator haciendo uso de evil-winrm con el paramentro -u le pasas el usuario -H el hash del administrator y -i la direcion IP.

Ahora observamos que si hacemos un un whoami /priv. Ahora ya no somos el usuario Jareth si no que ahora somos administrator.

Ahora siendo administrator vamos por nuestra ultima bandera la del admin.txt y la tenemos y bueno pues maquina resuelta.