[HackTheBox] – Sniper

Box Sniper dengan IP 10.10.10.151 dengan OS Windows *painful af OS

Mari lakukan basic enumeration dengan nmap, hasil nmap menunjukkan

Terdapat web service, mari kita coba cek

Terdapat user login portal

Setelah mencoba beberapa payload basic dan basic credentials, tidak ditemukan apa apa yang bisa digunakan

Pada page services, dan setelah berpindah ke page blog dalam bahasa inggris, nampaknya parameter ini vulnerable terhadap LFI. Mari kita coba

Benar bisa dilakukan LFI, tapi saya tidak menemukan file yang menarik, dan tidak ada tempat untuk melakukan file upload di website ini. Mari kita coba untuk melakukan RFI.

RFI tidak me return apapun, berarti allow url include dimatikan. Namun ada cara untuk melakukan bypass url include yang dimatikan tersebut, saya mengambil referensi dari website

http://www.mannulinux.org/2019/05/exploiting-rfi-in-php-bypass-remote-url-inclusion-restriction.html

Saya mengikuti setiap step di dalam blog tersebut dengan payload yang berbeda

Payload ini akan mendownload netcat dari python server saya, dan menggunakan netcat tersebut untuk memberikan koneksi reverse shell.

Kita masuk sebagai iusr, dan menemukan config database yang menganduk credentials

Kita juga mengetahui dari directory users terdapat user bernama Chris, mari kita coba dapatkan shell sebagai Chris

Berhasil menjadi Chris

user.txt 21f4d0f29fc4dd867500c1ad716cf56e

Mari kita lakukan privesc ke administrator

Ditemukan instructions.chm , chm adalah file help untuk OS windows. Namun ada vulnerability untuk menyembunyikan payload dan menjalankannya saat file .chm ini dibuka.

Pada folder Docs terdapat note.txt yang menyuruh kita menyelesaikan pekerjaan kita dan meletakkan file .chm disini . Mari kita rakit payload .chm dan masukkan ke folder ini dengan harapan mendapatkan reverse shell sebagai administrator.

Kita akan menggunakan Out-CHM.ps1 oleh nishang

https://github.com/samratashok/nishang/blob/master/Client/Out-CHM.ps1

Dengan panduan dari

http://www.labofapenetrationtester.com/2014/11/powershell-for-client-side-attacks.html

Mari kita drop payload kita di Docs

root.txt 5624caf363e2750e994f6be0b7436c15

Leave a Reply

Your email address will not be published. Required fields are marked *