Retro – TryHackMe Write-up

Retro – TryHackMe Write-up

Hoy vamos a resolver la máquina Retro de TryHackMe, en esta nos encontramos un servicio web donde deberemos conseguir las credenciales en un directorio oculto para obtener un primer acceso al sistema y luego, intentar distintas formas hasta conseguir escalar privilegios.

Dificultad asignada por THM: Difícil

La ip de la máquina en mi caso será: 10.10.236.240

Esta sala se divide en tres puntos:

Directorio oculto

Primero empecemos con una enumeración básica con nmap para ver los puertos abiertos:

nmap -sC -sV -T4 -Pn -p- <ip>

Y obtenemos que tiene los puertos 80 (HTTP) abierto y el 3398 (RPD):

Análisis con nmap de Retro de TryHackMe

Bien, entremos al servicio web a ver que hay ahí

Parece que solo es la página por defecto que trae el IIS, probemos hacer una búsqueda de directorios y ficheros con gobuster:

gobuster dir –url http://<ip> –wordlist /usr/share/wordlists/dirb/big.txt -x php,html.txt,asp,aspx

Y con esto podemos responder a la primera pregunta de ¿cuál es el directorio oculto?:

user.txt

Ahora que tenemos el nombre del directorio oculto, si accedemos a él podemos observar que hay una especie de blog de juegos retro:

Inspeccionando unos minutos en las entradas del blog, pude percatarme que hay un comentario del usuario “wade” que escribe lo que parece ser su contraseña:

Entonces ya tenemos un nombre de usuario y una contraseña, wade:parzival, ahora, ¿dónde iniciamos sesión?, pues bueno el blog está hecho con wordpress, así que toca ir al confiable wp-login:

Nos dará un lego satisfactorio y entramos al panel de administración de wordpress:

En este punto podríamos intentar una shell reversa a través de wordpress tal vez como ya hemos hecho con MR. Robot CTF o con la ColddBoxEasy pero, hay que recordar que cuando hicimos el escaneo con nmap vimos que había un RDP, probemos a logearnos ahí con las credenciales que tenemos, puedes usar distintos softwares para ello, pero a mi me gusta mucho uno llamado Remmina y usaré ese, eres libre de usar el que quieras, pero como me gusta tanto remmina resulta que ni lo tengo instalado (haha), así que hay que instalarlo:

apt install remmina

Una vez instalado, lo abrimos y escribimos la ip de la máquina:

Y nos logeamos:

Y ya tenemos acceso como wade y podemos capturar el user.txt:

root.txt

Ahora que tenemos un acceso como usuario sin privilegios al sistema, hay que escalar privilegios, si eres observador habrás visto que la papelera de reciclaje tiene algo dentro:

Hhupd es un archivo que es necesario para acceder a ciertas características de Windows y, en 2019 se descubrió una vulnerabilidad que permitía la escalación de privilegios en el sistema. Tras pasar cerca de 10 minutos revisando más el sistema pude percatarme que en el navegador Google Chrome que tenía instalado, habían datos en el historial sin borrar y de hecho, había un marcador con un CVE:

Investigando un poco sobre ese CVE, pude darme cuenta que se trata de la manipulación de un proceso del sistema para poder abrir una página web, que posteriormente podremos usar para conseguir una ventana de CMD con permisos del administrador, me he topado con este repo de github que tiene un gif que literalmente explica como aprovecharse de esta vulnerabilidad, lamentándolo mucho para nosotros, a la hora de hacerlo no nos deja ya que no podemos darle a “OK” en un paso para aprovecharnos de esta vulnerabilidad, esto se debe a un error activado intencionalmente en el sistema:

Pero claro, esto se puede solucionar de forma muy sencilla, simplemente con descargar el ejecutable que está en el repo de github que mencioné antes, transfiriéndolo a la máquina y ejecutándolo ya debería dejar escalar privilegios:

Iba a mostrar eso en este write-up, pero he visto muchos write-ups donde se ya se muestra y se explica bastante bien, entonces quiero hacerlo de una forma muy diferente, con un exploit de kernel (no me maten, ya sé que ni siquiera debería estar pensando la posibilidad de usar uno, pero solamente quiero que vean otro proceso de escalación de privilegios en esta máquina).

Así que, partiendo de la versión del sistema instalada, este repo en github, nos será de utilidad ya que en el sistema existe una vulnerabilidad que permite la elevación de privilegios en Windows COM Aggregate Marshaler, más información aquí así que veamos el proceso alterno para escalar privilegios:

Primero en tú máquina atacante descarga el exploit para 64 bits:

Luego descomprímelo:

Luego, igualmente en la máquina atacante creamos un servidor http con Python en el mismo directorio donde se guardó el exploit (en mi caso /root/Descargas), para ello:

python -m SimpleHTTPServer 8080

Luego desde el Windows, accede al servidor y descarga el ejecutable (.exe), puedes hacerlo desde la powershell o de forma gráfica con el navegador, lo haré de esta última forma para que se te sea más ameno entenderlo:

Y al ejecutarlo obtendremos una ventana de CMD como administrador:

Ya solo queda leer el root.txt

Opinión personal:

  • Dificultad de acceso: 20% 20%
  • Dificultad de escalación de privilegios: 45% 45%

He hecho esta puntuación basándome en estos valores propios:

Fácil1% – 30%

Medio: 31% – 70%

Difícil: 71% – 100%

Anuncio

Sobre el Autor

Martin Frias

Founder of Coldd Security

REDES SOCIALES

Newsletter

Estadísticas

  • 163.169
  • 55

TheHackerSnow

0

Share This