Drücke „Enter”, um zum Inhalt zu springen.

HackTheBox – Mantis WriteUp | Tipps + Anleitung | htb

0

HackTheBox – Mantis WriteUp | Tipps + Anleitung | htb

Mantis ist eine der schwierigeren CTF Challenges von HackTheBox. Allerdings ist die Mantis relativ einfach, wenn man weiß, was man macht.

wertung

Tipps

Tipp 1

Port 8080 ist nicht der richtige HTTP Port. Außerdem sollte eine größere Wörterliste für das Directory Bruteforcing benutzt werden.

Tipp 2

Um an User und Root zu kommen, musst du einen Exploit für die kritische Kerberos Schwachstelle MS14-068 benutzen.

Tipp 3

GoldenPac.py von Impacket, kann es dir einfacher machen.

Video

Kurzes Video Walkthrough ohne Erklärungen

Anleitung

Schritt 1

Als erstes machen wir wie immer einen Nmap-Scan. Wir scannen alle Ports mit -p- und lassen uns mit -A Informationen zum einen zu den jeweiligen Services anzeigen und zum anderen ein paar Skripte laufen.

Bei Port 1337 läuft ein HTTP-Server. Das Skript smb-os-discovery findet heraus, dass das Betriebssystem Windows Server 2008 R2 Service Pack 1, der Computer-Name mantis und der Domain-Name htb.local ist. Diese Informationen werden uns später noch nützlich sein. Außerdem läuft auf Port 1433 ein Microsoft SQL Server.

Schritt 2

Als nächstes sehen wir nach, welche Verzeichnisse wir finden können.

secure_notes ist das einzige Verzeichnis, welches gefunden wurde.

Schritt 3

Sehen wir uns secure_notes mal an.

secure notes

Wir sehen zwei Dateien. web.config ist uninteressant, aber dev_notes_NmQyNDI0NzE2YzVmNTM0MDVmNTA0MDczNzM1NzMwNzI2NDIx.txt.txt hat einige interessante Informationen für uns. Der Inhalt der Datei ist wie folgt:

Es wird also wahrscheinlich ein SQL server 2014 Express benutzt, welcher eine Datenbank namens orcharddb mit dem Benutzer admin hat.

Möchtest du benachrichtigt werden, wenn ein neuer Artikel veröffentlicht wurde?

Schritt 4

Die Text-Datei hat einen merkwürdigen Namen, der nach einer Base64 Kodierung aussieht.

Der String den wir nach der Dekodierung erhalten, sieht nach Hexadezimal aus, da nur Buchstaben bis F und Zahlen vorkommen.

Wir haben anscheinen ein Passwort erhalten.

 

Versuchen wir uns mal mit dem Benutzernamen admin und dem Passwort m$$ql_S@_P@ssW0rd! bei der SQL-Datenbank anzumelden. Ich benutze dafür DBeaver.

Als erstes wählen wir MS SQL Server aus.

ms sql

Dann müssen noch die erforderlichen Daten eingeben. Dank unseres Nmap-Scans wissen wir, dass der Standard-Port 1433 benutzt wird.

einstellungen

Jetzt noch zwei Mal auf Next und dann auf Finish klicken.

Als nächstes suchen wir nach einer Tabelle mit Benutzer Zugangsdaten.

tables

Die Tabelle blog_Orchard_Users_UserPartRecord enthält Zugangsdaten für die Benutzer admin und James. Der Benutzer admin hat normalerweise ein verschlüsseltes Password, allerdings hat jemand anderes dieses zu 1111 geändert…

Beim Benutzer James ist es allerdings gewollt, dass sein Passwort nicht verschlüsselt ist. Merken wir uns also sein Passwort J@m3s_P@ssW0rd!

credentials

Schritt 5

Für den nächsten Schritt müssen wir unsere /etc/hosts Datei bearbeiten, welche dafür benutzt wird um Rechnernamen in IP-Adressen aufzulösen.

 

Als nächstes können wir das Python Skript goldenPac.py von der Python Klassen Sammlung Impacket benutzen, um die kritische Kerberos Schwachstelle MS14-068 auszunutzen.

Schritt 6

Jetzt können wir uns die User und die Root Flag abholen.

Vielen Dank für’s durchlesen. 🙂

Teilen:

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    4 × 5 =