Maquina Retirada Arkham de Hack The Box (Necesario VIP)
Published on 20 Mar 2022
Arkham ~ Hack The Box ~ Batman
Realizamos el Primer escaneo con Nmap
$" nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn -oG allports 10.10.10.130 "
Procedemos con el siguiente escaneo de Nmap
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 10.0
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: IIS Windows Server
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
8080/tcp open http Apache Tomcat 8.5.37
| http-methods:
|_ Potentially risky methods: PUT DELETE
|_http-open-proxy: Proxy might be redirecting requests
|_http-title: Mask Inc.
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2022-01-20T13:28:10
|_ start_date: N/A
Lanzamos Whatweb
# cat nmap/Whatweb
http://10.10.10.130 [200 OK] Country[RESERVED][ZZ], HTTPServer[Microsoft-IIS/10.0], IP[10.10.10.130], Microsoft-IIS[10.0], Title[IIS Windows Server]
Procedemos a enumerar el puerto 445
# smbmap -H 10.10.10.130 -u "null"
[+] Guest session IP: 10.10.10.130:445 Name: 10.10.10.130
Disk Permissions Comment
---- ----------- -------
ADMIN$ NO ACCESS Remote Admin
BatShare READ ONLY Master Waynes secrets
C$ NO ACCESS Default share
IPC$ READ ONLY Remote IPC
Users READ ONLY
# smbmap -H 10.10.10.130 -u "null" -r "BatShare"
[+] Guest session IP: 10.10.10.130:445 Name: 10.10.10.130
Disk Permissions Comment
---- ----------- -------
BatShare READ ONLY
.\BatShare\*
dr--r--r-- 0 Sun Feb 3 14:04:13 2019 .
dr--r--r-- 0 Sun Feb 3 14:04:13 2019 ..
fr--r--r-- 4046695 Sun Feb 3 14:04:13 2019 appserver.zip
Nos traemos a nuestro equipo el recurso appserver.zip
Descomprimimos el archivo
# unzip content/appserver.zip
Archive: content/appserver.zip
inflating: IMPORTANT.txt
inflating: backup.img
Procedemos a ver el formato del archivo img con la herramienta file
# file backup.img
backup.img: "LUKS encrypted file", ver 1 [aes, xts-plain64, sha256] UUID: d931ebb1-5edc-4453-8ab1-3d23bb85b38e
Procedemos a usar la tool cryptsetup
# cryptsetup luksOpen backup.img arkhamdata
Introduzca la frase contraseña de backup.img:
No hay ninguna clave disponible con esa frase contraseña.
Procedemos a buscar un recurso llamado BruteForce-Luks en github para clonarnoslo
# git clone "https://github.com/glv2/bruteforce-luks"
Procedemos a seguir los pasos de la instalacion
./autogen.sh
./configure.sh
sudo apt install dh-autoreconf
sudo apt install libcryptsetup-dev
make install
Procedemos a usarlo para bruteforcear el comprimido backup.img
# bruteforce-luks -f dicc backup.img
Warning: using dictionary mode, ignoring options -b, -e, -l, -m and -s.
Tried passwords: 1
Tried passwords per second: 0,500000
Last tried password: batmanforever
Password found: "batmanforever"
Almacenamos la contraseña en un archivo y proseguimos intentando lo siguiente
# cryptsetup luksOpen backup.img ArkhamD 5 ⨯
Introduzca la frase contraseña de backup.img: *******
Nos crea un directorio en la ruta /dev/mapper/
# ls /dev/mapper/ArkhamD
/dev/mapper/ArkhamD
# mount /dev/mapper/ArkhamD /mnt/ArkhamD
mount: /mnt/ArkhamD: mount point does not exist.
# mount /dev/mapper/ArkhamD /mnt/ArkhamD
# cd /mnt/ArkhamD
# ls
lost+found Mask web-xml-bak
Procedemos a traernos el archivo web-xml-bak a nuestro equipo
# cat web-xml-bak
"<param-name>org.apache.myfaces.SECRET <param-name>"
<param-value>"SnNGOTg3Ni0="</param-value>
</context-param>
<context-param>
<param-name>org.apache.myfaces.MAC_ALGORITHM</param-name>
<param-value>"HmacSHA1"</param-value>
</context-param>
<context-param>
<param-name>"org.apache.myfaces.MAC_SECRET"</param-name>
<param-value>"SnNGOTg3Ni0="</param-value>
</context-param>
Encontramos una cadena en base64 que nos parece a un secreto de encryptacion en HmacSHA1