Kemaren lalu aku share challenge pentesting yang menggunakan machine windows, dengan deskripsi sebagai berikut
Pentest Day Bhitech Challenge
Host: 143.198.222.180
Machine: Windows
Level: Easy
Flag Format: bhitech{}
Deskripsi: Selamat datang di Pentest Day! Tantangan simpel, tapi seru. Tugasmu adalah mendapatkan dua flag yang tersembunyi di direktori user dan administrator. Gunakan segala cara dan skill yang kamu punya—dari eksploitasi sampai trik-trik cerdik lainnya!
Ingat, tujuan utamanya adalah eksplorasi dan belajar. Jangan merusak system yang ada! Semua yang kamu lakukan harus untuk tujuan edukasi.
Catatan: Jangan lupa fokus untuk eksploitasi dan seru-seruan—gak ada yang lebih keren dari belajar sambil nge-hack!
Good luck, happy hacking, and let’s grab those flags!Dimana sama dengan chall pentesting lainnya yang mengharuskan untuk membaca flag yang disimpan pada server yakni terletak pada user dan administrator directory, dan disini kita diberikan suatu IP address server jadi langsung lakukan reconnaissance untuk phase awal
Terdapat beberapa service yang open diantarannya ada HTTP dan SMB yang bisa kita jadikan untuk foothold atau pijakan awal sebelum melakukan exploitation, dan jika dibuka pada service HTTP terlihat terdapat default halaman setelah installation Umbraco CMS dan juga terdapat form login untuk authentikasi
Disini kita tidak mempunyai valid credential untuk login, selanjutnya kita coba cek service berikutnya yaitu SMB server
Ternyata terdapat vulnerability SMB null session artinya SMB tersebut mengizinkan authentikasi tanpa credential jadi kita bisa akses sharename tanpa memasukkan username/password, dan jika diperhatikan ada sharename yang tidak biasa yaitu DataManager
Setelah diakses ditemukannya file XLS dengan nama member_account.xlsx, kemudian kita akan buka pada document viewer
Dokumen XLS tersebut berisikan informasi sensitive dari member Bhineka Tech yang juga menampilkan user, passsword beserta keahlian yang dimiliki beberapa member tetapi uniknya user dengan ID 3 berbeda dari yang lain yakni user tersebut menggunakan email dan jika kita lihat lagi pada login Umbraco diatas terdapat placeholder pada input username yaitu “Your username is usually your email” yang mengindikasikan jika username berupa email address, langsung saja kita coba login
Berhasil masuk dashboard Administrator, dan langkah selanjutnya kita cek version dari CMS umbraco yang digunakan
Versi yang digunakan yaitu 7.12.4 dan jika kita melihat pada exploit database menggunakan searchsploit
Ada vulnerability pada Umbraco versi 7.12.4 yaitu Remote Code Execution / RCE dengan kategori Authenticated yang berarti harus mempunyai privilege minimal untuk masuk dashboard, karena sudah didapatkan sebelumnya sekarang kita mulai untuk tahapan exploitation
Terlihat berhasil melakukan code execution artinya exploit berhasil dan jika di inputkan beberapa command batch script dasar akan menampilkan output yang sesuai.
Karena tidak mungkin untuk melakukan command satu persatu dan bolak balik exploit jadi disini kita akan generate binary executable untuk reverse shell menggunakan msfvenom
Karena casenya disini public server jadi kita melakukan generate binary reverse shell dengan listener yang di set ke IP VPS atau jika tidak mempunyai VPS bisa juga melakukan tunneling atau port forwarding menggunakan ngrok dan semacamnya
sebelumnya aku sudah aktifkan python http server di port 8000 pada VPS jadi disini kita tinggal download binary di server target menggunakan certutil yang akan disimpan didalam temporary directory dalam case windows ada di C:/windows/temp, kemudian kita execute binary jadi tinggal dipanggil full pathnya otomatis akan ter-eksekusi
Reverse shell berhasil dengan listener di port 9999, selanjutnya kita baca user flag pada directory users dan dalam hal ini ternyata user yang ada diserver menggunakan username rama
User flag : “bhitech{KuL0_T14nG_J4W1}”
Privilege Escalation
Selanjutnya kita diminta untuk membaca flag pada Administrator directory yang tentu saja akan access denied karena privilege user yang kita dapatkan merupakan Service Account yang tidak memiliki akses pada directory Administrator, jadi disini kita akan melakukan privilege escalation atau meningkatkan hak akses.
Sebenarnya ada banyak cara yang digunakan untuk enumeration pada tahapan post-exploitation pada windows sendiri, tapi disini kita akan automation saja menggunakan winpeas
https://github.com/peass-ng/PEASS-ng/blob/master/winPEAS/winPEASexe/README.md
Jadi winpeas sendiri berfungsi untuk identifikasi service, component, kernel, scheduled task, registry dan lain lain jika terdapat suatu vulnerability ataupun misconfiguration yang bisa dimanfaatkan untuk melakukan Privilege Escalation
Download winpeas entah dengan menggunakan utility apapun bisa cURL ataupun certutil lalu jalankan
Disini ditemukan suatu service dengan nama BhitechService yang dimana Authenticated Users atau user dalam machine tersebut dapat melakukan full control pada registry yang dimana ini sangat berbahaya karena attacker bisa mengganti binary executable pada registry service tersebut dengan malicious atau executable berbahaya
Seknarionya disini kita akan melakukan generate ulang binary reverse shell menggunakan msfvenom dengan listener port 9000, lalu kita ubah ImagePath dari registry BhitechService dengan binary reverse shell yang kita buat jadi saat service di restart otomatis akan dieksekusi sebagai NT/System
Oke jadi disini menggunakan reg add yaitu command registry bawaan windows untuk replace binary ImagePath registry ke binary reverse shell yang kita buat, disini berhasil karena dari hasil enumeration dari winpeas Authenticated Users mempunyai full control pada registry BhitechService
Sekarang kita coba restart service menggunakan command net start BhitechService dan jangan lupa aktifkan netcat pada port 9000 yang kita buat tadi untuk dijadikan sebagai listener
Untuk message dari output net start bisa dihiraukan yang terpenting kita berhasil mendapatkan shell sebagai NT/System atau privilege tertinggi pada windows machine
Sekarang kita baca flagnya pada directory Administrator
Root flag : bhitech{G0tt_Acc3ss_adm1n_m4TuR_NuWun_s4ng3t}
Challenge solved rek, dan untuk tambahan sebenarnya masih ada teknik privilege escalation lain yang bisa digunakan karena casenya disini kita mendapatkan akses ke service account dan mempunyai 2 privilege penting yaitu SeAssignPrimaryTokenPrivilege dan SeImpersonatePrivilege yang bisa dimanfaatkan untuk melakukan token impersonation dan mendapatkan akses ke NT/System karena terlalu panjang mungkin akan dibahas lain kali jadi itu saja semoga bermanfaat.