[HackTheBox] – Nest

HackTheBox machine “Nest” , SPOILER ALERT INI DIFFICULTY NYA TIDAK EASY , AT LEAST MEDIUM (?)

Mari kita nmap dengan syntax biasa, nmap -sV -sC -A 10.10.10.178

Port yang open hanya samba share, mari kita listing share yang ada di port 445 tersebut

Ada beberapa share yang menarik yaitu Data, Secure$ dan Users

Sudah dapat credentials untuk access menggunakan smbclient, TempUser:welcome2019

Pada share Data di /IT/Configs/NotepadPlusPlus ditemukan clue bahwa notepad pernah membuka beberapa file, terdapat di bagian history NotepadPlusPlus nya

Dari sini kita bisa melihat bahwa ternyata di share Secure$/IT ada directory bernama Carl, tadinya kita tidak memili permission untuk list directory didalam Secure$/IT, nanti kita akan coba apakah bisa langsung tembak directorynya saja. Dari sini juga terlihat bahwa terdapat user bernama C.Smith, karena home directory user kita sekarang adalah /Users/TempUser

Kita juga mendapat sebuah hash password dari C.Smith dari /IT/Configs/Ru Scanner/RU_config.xml

Nampaknya password bukan base encryption, mari kita simpan dulu saja

Berpindah ke folder /IT/Carl kita bisa menemukan sebuah folder tempat ia menyimpan project VB nya, karena malas emumerasi menggunakan smbclient, saya mendownload keseluruhan dari foldernya

Terdapat file Utils.vb

Sekilas dilihat ini mirip seperti module python, berisi function didalam class yang tinggal dipanggil untuk mendecrypt sesuatu, kemungkinan besar password C.Smith tadi, maka saya mencoba menggambil sepenggal code tersebut dan memasukkannya ke online compiler.

Pak penulis , kenapa ga pakai Visual Basic saja? OH KARENA DOWNLOAD NYA 16GB

Ok next, jika kita mencari online compiler untuk Visual Basic .NET terdapat beberapa website yang bisa digunakan, seperti onlinegdb, jdoodle, dan dotnetfiddle

For some reason, dari ketiga itu yang bisa saya gunakan hanya dotnetfiddle padahal menggunakan script yang sama yang sama rancang sendiri, ini memakan waktu yang lama karena penulis tidak familiar dengan VB shenanegans, hanya menebak2 dan mencoba debug.

Script yang penulis gunakan seperti diatas

Password user C.Smith adalah xRxRxPANCAK3SxRxRx

user.txt cf71b25404be5d84fd827e05f426e987
Didalam share Users/C.Smith terdapat directory bernama HQK Reporting/HQK_config_backup.xml

Dan ada HqkLdap.exe, serta sebuah file kosong

Dari sini penulis sempat stuck dan diberikan nudge bahwa coba lakukan nmap scan ulang lebih “teliti”

Maka penulis melakukan nmap lagi dengan nmap -p- -Pn 10.10.10.178

Ah benar saja ada port 4386 yang terbuka, TCP, tapi service unknown, mari kita coba telnet saja

Tidak ada banyak yg bisa dilakukan, nampaknya kita memerlukan password DEBUG tersebut
Passwordnya terletak pada file “Debug Mode Password.txt” namun saat dibuka filenya kosong, ternyata file tersebut merupaka sebuah ADS (Alternate Data Stream) ada cara membukanya yang hanya bisa dilakukan di windows(?) cmiiw, kalau di get ke local machine penulis yang saat itu adalah kali akan hilang data ADS nya.
Password debug adalah WBQ201953D8w
Ada password yang di hash lagi untuk administrator, penulis mengambil HqkLdap.exe untuk kemudian di decompile menggunakan JetBrains DotPeek

Ditemukan script yang mirip dengan Utils.vb di bagian C.Smith tadi, maka cara kerjanya kurang lebih sama, bedanya language yang digunakan adalah C#

Password admin XtH4nkS4Pl4y1nGX

smbclient //10.10.10.178/C$ -U Administrator

root.txt 6594c2eb084bc0f08a42f0b94b878c41

 

Leave a Reply

Your email address will not be published. Required fields are marked *