MrTux

MrTux

Security Analyst - Red Team

Netmon - HackTheBox

2 minute read

En este post se explicarán los pasos que se han seguido para conseguir vulnerar la seguridad de la máquina Netmon en Hack The Box, tal y como se refleja, es un sistema Windows con un nivel de dificultad fácil.

Ilustración 1: Netmon.

Una vez se tiene la dirección IP del sistema, se comenzó la fase de enumeración, para identificar qué servicios y puertos estaban activos. Se realizó un escaneo del tipo SYN-SCAN de todos los puertos, dando como resultado lo siguiente:

Ilustración 2: Ejecutando nmap.

Ilustración 3: Resultados de la ejecución de nmap.

En una primera impresión lo más destacado son los puertos 21 (FTP) y 80 (HTTP) en el cual el banner obtenido por NMAP dice que existe un PRTG Monitor en la versión 18.1.37. Antes de continuar investigando los resultados obtenidos, lo primero que se comprobó fue si el servidor FTP tenía habilitado el usuario anonymous.

Ilustración 4: Conexión al servidor FTP.

Una vez dentro, recorriendo los diferentes directorios fue relativamente fácil encontrar la primera flag. Se encontraba en "C:\Users\Public\user.txt"

Ilustración 5: Ficheros y directorios accesibles en el servidor FTP.

Ilustración 6: Flag de usuario.

Para obtener la siguiente flag era necesario tener acceso como administrador, puesto que según la pista que nos daba Hack The Box, el fichero root.txt que la contenía se encontraba en "C:\Users\Administrator\Desktop_ ". El usuario _anonymous de FTP no tenía los suficientes privilegios para acceder a dicho directorio. Así que se comenzó a investigar la herramienta PRTG Monitor, cuyo acceso al panel de administración se encontraba en el puerto 80.

Ilustración 7: Intento de autentificación con credenciales por defecto.

Como refleja la imagen anterior, se probó la combinación usuario/contraseña por defecto, la cual no tuvo éxito. Buscando vulnerabilidades de esta herramienta se encontró la siguiente: https://www.incibe-cert.es/alerta-temprana/vulnerabilidades/cve-2018-9276 (el exploit correspondiente: https://www.exploit-db.com/exploits/46527). La versión de PRTG Monitor instalada en Netmon era vulnerable, pero requería conocer la contraseña del usuario que tiene acceso a la herramienta, por tanto, se decidió buscar más en profundidad por los directorios a los que se tenía acceso en el servidor FTP, con el objetivo de encontrar los ficheros de configuración.

Ilustración 8: Contenido del directorio ProgramData.

Ilustración 9: Fichero configuración PRTG.

Ilustración 10: Contraseña del usuario administrador PRTG.

La contraseña encontrada era incorrecta, pero cambiando 2018 por 2019, se tenía acceso:

Ilustración 11: Acceso al panel de administración.

Ya en este punto se tenían las condiciones necesarias para explotar la vulnerabilidad anteriormente mencionada. Para automatizar el proceso, se hizo uso de este programa escrito en Python: https://github.com/wildkindcc/CVE-2018-9276. Proporcionando el usuario y la contraseña, abría un reverse shell como administrador.

Ilustración 12: Ejecución del exploit.

Ilustración 13: Reverse Shell y obtención de la flag del usuario root.

Teniendo acceso al sistema como administrador se obtuvo la última flag sin problemas. Dando por completado el reto.