Writeup  Hackthebox - Resolute Bahasa Indonesia

Jadi, kali ini saya mau nyoba bikin writeup HackTheBox Resolute! Mohon maaf kalau nantinya writeupnya kurang dimengerti soalnya saya juga lagi belajar HackTheBox juga.

I. Enumeration

Pertama kita enumerate dahulu Box tersebut untuk mendapatkan data — data yang nantinya akan bisa dipakai ke tahap selanjutnya. Tahapan enumeration biasanya diawali dengan melihat port — port terbuka dengan nmap dan dilanjut dengan tahapan lainnya. Untuk lebih efisien, saya menggunakan tools AutoRecon ( https://github.com/Tib3rius/AutoRecon )

AutoRecon ini nantinya akan melakukan enumeration basic seperti melihat port tcp dan udp yang terbuka secara full maupun singkat, melakukan beberapa enumerate menggunakan nikto , dan beberapa tools lainnya! Dan akan mengeluarkan output scan yang nantinya disimpan ke file dan kita akan mudah untuk menganalisa dari beberapa file tersebut.

Berikut ini output yang didapatkan dari AutoRecon :

Output AutoRecon

Mari kita lihat satu persatu, dimulai dari hasil scan nmap full :

Dari situ kita bisa melihat beberapa port yang terbuka, salah satunya adalah port SMB. Setelah itu, mari kita lihat hasil scan dari AutoRecon yang lain, yaitu hasil dari enum4linux . Saya memperlihatkan potongan dari outputnya saja, yang nantinya akan berfungsi untuk langkah selanjutnya.

Nah, dari hasil output enum4linux terdapat beberapa user yang sudah kita dapatkan, ada juga keterangan deskripsi di beberapa user. Salah satu keterangannya menyebutkan bahwa ” Account created. Password set to Welcome123!” Dari sini, bisa kita coba untuk login SMB / Evil-WinRm dahulu. Setelah dicoba, ternyata untuk akun username marko dengan password Welcome123! adalah salah! dan tidak bisa digunakan untuk login di kedua service tersebut.

II. Get User

Kalau kita mencoba berpikir secara logika dan dianalogikan pada dunia nyata kemungkinan password tersebut sudah di ganti oleh user marko karena password tersebut bisa dikatakan sebagai password default ketika membuat sebuah akun! Menarik, tapi dari banyaknya user yang kita dapatkan. Kira – kira apakah ada user yang belum mengganti password defaultnya, sehingga kita bisa menggunakan credentialsnya untuk melanjutkan kegiatan kita untuk melakukan takeover pada Box Resolute.  Jadi, mari kita coba satu – satu!

Saya mengecek username mana yang bisa menggunakan password “Welcome123!” untuk login. Saya mencobanya pada service Evil-WinRM ( https://github.com/Hackplayers/evil-winrm ) bisa juga dengan mengetesnya pada service SMB pada mesin dengan menggunakan Smbmap . Akhirnya, saya menemukan username yang bisa menggunakan password “Welcome123!” untuk login, yaitu username “melanie” setelah itu, saya langsung bisa masuk ke dalam mesin Resolute dengan menggunakan User Melanie.

Username Login Mesin Resolute

Username Login Mesin Resolute

Setelah melakukan login, Langsung saja kita mencari file user.txt pada directory User Melanie ini!

User.txt ada pada Folder Desktop User Melanie

III. Privillege Escalation

Okay, selanjutnya adalah Privillege Escalation! Saya mencoba untuk mendapatkan informasi terkait mesin ini dengan menggunakan user Melanie, saya mencoba untuk melihat service SMB untuk mencari – cari apakah ada sebuah file yang nantinya bisa berguna untuk digunakan untuk PrivEsc dan melihat – lihat apa yang bisa melanie ini lakukan untuk menyalahgunakan hak akses yang dimilkinya. Setelah mencari beberapa lama, saya tidak menemukan apapun yang dapat digunakan, akhirnya saya melihat direktori Users, ternyata ada 2 Users di mesin ini, yaitu melanie dan ryan. Dari situ, saya berpikir apakah clue nya ada pada user ryan ? Jadi, apakah saya harus menggunakan user ryan untuk melakukan Privillege Escalation?

Saatnya mencari cari file dan informasi yang bisa kita dapat untuk bisa login ke user ryan, untuk melihat file yang juga ke-hidden kita menggunakan “dir -force” didapatkan lah beberapa Folder yang ke hidden, dan akan kita lihat satu – persatu. Setelah menjelajahi beberapa folder, kita mendapatkan sebuah file .txt yang bernama Powershell_Transcript. Langsung saja kita lihat isinya, apa ada credentials yang bisa kita gunakan nantinya.

File yang ditemukan pada directory yang ter-hidden

Ternyata terdapat username dan password ryan pada file tersebut,

Kita gunakan username dan password untuk login ke box dengan menggunakan Evil-Winrm lagi dengan command seperti berikut : “evil-winrm -i 10.10.10.169 -u ryan -p Serv3r4Admin4cc123!“. Setelah berhasil login, kita lihat apa yang bisa dilakukan oleh user ryan kedalam box tersebut.

Ternyata user ryan ada pada beberapa group seperti Contractors dan DnsAdmins, berbeda dengan user melanie yang tidak ada pada group tersebut. Apakah jalan untuk PrivEscnya ada pada Group tersebut ? Setelah melakukan Googling saya menemukan artikel ini : https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/from-dnsadmins-to-system-to-domain-compromise dimana dari users yang mempunyai akses ke DnsAdmins bisa melakukan eskalasi ke System dengan melakukan inject .dll pada config.

Sebelum melakukan injeksi .dll tersebut, kita buat shell dengan menggunakan msfvenom yang berekstensi .dll dengan command sebagai berikut :

Nah, nantinya shell ini akan di inject kan pada box dengan menggunakan smbserver milik impacket (https://github.com/SecureAuthCorp/impacket/blob/master/examples/smbserver.py) kita nyalakan smbserver pada folder yang sama dengan hasil output dari msfvenom tadi. Dengan mengetikkan command : “smbserver.py share .” pada terminal , setelah itu kita melakukan inject .dll menggunakan user ryan dengan menggunakan command :

Jangan lupa sebelum melakukan start service, kita sudah menyiapkan listerner pada port 4444 untuk mendapat respond dari shell yang kita inject pada box. Dan, Root!

IV. Catatan

Alur dalam melakukan root pada box Resolute :

Enumerate (enum4linux) -> Login dengan Evil-WinRM (User Melanie) -> Mencari File Tersembunyi yang berisi Credentials user Ryan -> Eskalasi menggunakan Hak Akses DnsAdmins -> Root!

Tools dan Link yang digunakan dalam box ini :

  1. AutoRecon (https://github.com/Tib3rius/AutoRecon)
  2. Evil-WinRM (https://github.com/Hackplayers/evil-winrm)
  3. Impacket ( https://github.com/SecureAuthCorp/impacket )
  4. Eskalasi dari DnsAdmins : https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/from-dnsadmins-to-system-to-domain-compromise

Nah, begitulah Langkah – langkah untuk menyelesaikan mesin Resolute versi saya, Jika ada salah – salahnya mohon maaf! Terimakasih.

Leave a Reply