This page looks best with JavaScript enabled

TryHackMe - Retro

 ·  ☕ 2 min read  ·  ✍️ c1sco0
featured image

Retro es una maquina de TryHackMe con Sistem Windows expone RDP por donde ingresamos con credenciales en comentarios de WordPress. Obtuvimos acceso privilegiado con informacion que encontramos en el historial de Chrome.

Room

Titulo Retro box_img_maker
Descripción New high score!
Puntos 690
Dificultad Dificil
Maker

DarkStar7471

NMAP

Escaneo de puertos tcp, nmap nos muestra varios puertos abiertos.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

# Nmap 7.80 scan initiated Thu Feb 13 16:45:26 2020 as: nmap -p- -T4 -Pn -sV -sC -o nmap_scan 10.10.69.12
Nmap scan report for 10.10.69.12
Host is up (0.23s latency).
Not shown: 65533 filtered ports
PORT     STATE SERVICE       VERSION
80/tcp   open  http          Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
|_http-title: IIS Windows Server
3389/tcp open  ms-wbt-server Microsoft Terminal Services
| ssl-cert: Subject: commonName=RetroWeb
| Not valid before: 2019-12-07T23:49:24
|_Not valid after:  2020-06-07T23:49:24
|_ssl-date: 2020-02-13T22:50:58+00:00; -1s from scanner time.
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: -1s

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Thu Feb 13 16:50:59 2020 -- 1 IP address (1 host up) scanned in 333.22 seconds

HTTP

WFUZZ

Utilizamos wfuzz para buscar directorios en el servidor web.

1
2

root@c1sco0:~/tryhackme/retro# wfuzz -c --hc=404 --hw=55 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt http://10.10.13.36/FUZZ (Status: 301)

/retro

Haciendo una busqueda mas exhaustiva, vemos una potencial contraseña: "parzival". Probamos si el servidor worpress tiene el wp-config.php por defecto, en efecto hay un panel de login. Sin embargo no nos deja hacer mucho, probamos conectarnos por de RDP a través de remmina.

image

RDP - User

Consideramos que ‘parzival’ es una contraseña del usuario wade, utilizamos el servicio RDP de la maquina para utilizar esta informacion. Usamos remmina para conectarnos a la maquina vía RDP. Obtenemos nuestra flag user.txt.

image

PRIVILEGE ESCALATION

Enumeramos la maquina y vemos en el historial un CVE que el usuario estuvo buscando ademas de eso un archivo en la papelera de reciclaje. Investigamos que podria ser este archivo y encontramos que es utilizado para obtener privilegios de administracion en el CVE-2019-1388.

image

image

Seguimos los pasos que nos indican en github, en caso de que no podamos realizar los pasos podemos utilizar el siguiente exploit:

Build 14393:
image

Obtenemos nuestra shell como usuario administrator y nuestra flag root.txt.

image

Share on
sckull
WRITTEN BY
c1sco0
Pentester wannabe

Read other posts

THM: Retro