HackTheBox Flight Write Up
Information Gathering
Scanning dengan nmap. Berikut port terbuka sebagai berikut:
Scanning dengan Nikto untuk melihat vulnerability Assessment yang ada:
Fuzzing directory dengan berbagai tools Dirsearch dan Dirb:
Fuzzing subdomain flight.htb
dengan wfuzz tools, disini kita menemukan subdomain school.
Exploitation
Kita juga menggunakan tools scanning Burp Suite, dari scan deep dari BurpSuite kami menemukan kerentanan tentang File Path Travesal yang ada pada parameter view:
. Disini bila menggunakan payload file:///c:/windows/win.ini
yang telah kita encode urlnya. Kita bisa melihat version pada windows tersebut dengan payload ini.
Dari kita mencoba melihat file lokal di server, kita dapat mencoba RFI yang berpontial SSRF juga di server target, sehingga bila kita menginputkan url server kita akan mengautentikasi dan menunjukkan kepada kita hash ntlmv2 dari pengguna yang sedang berjalan, seperti di server yang merespons, disini kita menggunakan responder untuk mendapatkan responya:
Setelah mendapatkan hash ntmlv2 kita juga crack hash tersebut dengan tools John
, dan disini kita mendapatkan password:
Kita disini mencoba mencocokan password kredensial yang terhubung dengan smb server target tersebut, dan kita mendapatkanya bila password itu cocok dengan user svc_apache
Kita melanjutkanya untuk melihat user lain yang ada di Smb server target. Disini kita melihat semua user yang ada pada Smb server target tersebut.
Setelah kami membuat file dengan user yang didapat tadi, dan disini kita mencoba mencocokan kredential lagi. Disini kita mendapatkan users dengan password yang cocok selain svc_apache
yaitu S.Moon
.
S.Moon
menggunakannya, kita dapat mencari direktori seseorang yang memiliki izin.
Post Exploitation
Kita mencoba login dengan smbclient dan kita dapat masuk. Disini tidak ada file apapun namun kita mencoba memasukan payload yang saya dapatkan dari hacktricks
Disini kita membuat payload yang nantinya kita akan mendapatkan Hash lagi dari response backconnect:
Seperti biasa untuk crack hash ntmlv2 yang di dapat dari backconnect tadi, dan mendapatkanya passwordnya.
Setelah kita crack passwordnya mencoba melihat directory share dengan user C.Bum
dan password Tikkycoll_431012284
.
Disini kita mencoba login dengan user dan password tadi, terdapat directory flight.htb dan school.flight.htb yang berarti directory ini adalah directory yang memuat halaman page tadi.
Setelah itu kita mencoba mengupload webshell wwwolf yang kita gunakan backconnect nantinya.
Setelah berhasil kita mengupload netcat yang didapat dari github: netcat yang kita akan upload ke dalam server. Berhasil terupload netcatnya kita backconnect an dengan netcat pc kita.
Disini mencoba privileges escalation pada server yang menggunakan windows ini, dengan menggunakan RunaCS ini kita dapat menjalakan command powershell lebih detail lagi.
Dan kita sambungkan dengan netcat yang bila nanti kita buka akan menggunakan command powershell.
Priveleges Escalation
Bagaimana cara privileges escalation dengan server ini? Kita akan menemukanya, setelah kita melihat lihat isi server ini.
Kita disini dapat melihat isi user.txt
yang berada di user C.Bum
tetapi kita tidak bisa melihat isi user administrator.
Setelah mencari lebih dalam kita menemukan bahwa kalau kita membuka netstat dengan command netstat -oat
kita akan melihat port 8000 yang berarti port ini mendapatkan isi web yang mungkin menampilkan halaman page baru.
Kita disini menggunakan chisel untuk melihat yang ada pada port 8000 dengan cara menghubungkan port ini kedalam server kita. Dengan mengupload chisel yang saya dapatkan dari chisel jalankan chisel server target dan server pc kita sendiri.
Disini bila kita membuka port 8000
dengan localhost akan memunculkan tampilan seperti gambar dibawah.
Mencari dimana letak source code halaman page ini, dan kita menemukanya letak source code port 8000
di directory C:\inetpub\development
Selanjutnya kita mencoba upload shell cmd yang saya punyai.
Kita mencoba backconnect an lagi dengan netcat. Disini kami melakukan pencarian yang bisa untuk mendapatkan user Administrator secara langsung.
Dengan menambahkan command whoami /priv
kita dapat melihat bahwa memungkinkan privileges escalation. Referensi
Disini kita menggunakan JuicyPotatoNG untuk menaikan user biasa ke user administrator. Dengan command dibawah kita bisa mendapatkan nt authority\system
yang dapat melakukan eksekusi apapun yang terdapat di server.