Netmon - HacktheBox

Netmon est une Box Windows de difficulté Facile avec une énumération et une exploitation simples. PRTG est en cours d'exécution et un serveur FTP avec accès anonyme permet la lecture des fichiers de configuration de PRTG Network Monitor. La version de PRTG est vulnérable à RCE qui peut être exploitée pour obtenir un shell SYSTEM.

Posted Nov 15, 2024

By Abdoulaye Diallo

3 min read

Reconnaissance

Comme le debut de chaque Machine que je fait, d’abord la reconnaissance…

  
$ nmap -sV -Pn -p1-65535 --min-rate 3000 10.10.10.152

Host is up (7.8s latency).
Not shown: 62891 filtered tcp ports (no-response), 2639 closed tcp ports (reset)
PORT    STATE SERVICE    VERSION
21/tcp  open  tcpwrapped
80/tcp  open  tcpwrapped
135/tcp open  tcpwrapped
139/tcp open  tcpwrapped
445/tcp open  tcpwrapped

$ nmap -sCV -Pn -p21,80,135,139,445 $ip
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-14 20:14 EST
Host is up (0.17s latency).

PORT    STATE SERVICE      VERSION
21/tcp  open  ftp          Microsoft ftpd
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| 02-02-19  11:18PM                 1024 .rnd
| 02-25-19  09:15PM       <DIR>          inetpub
| 07-16-16  08:18AM       <DIR>          PerfLogs
| 02-25-19  09:56PM       <DIR>          Program Files
| 02-02-19  11:28PM       <DIR>          Program Files (x86)
| 02-03-19  07:08AM       <DIR>          Users
|_11-10-23  09:20AM       <DIR>          Windows
| ftp-syst: 
|_  SYST: Windows_NT
80/tcp  open  http         Indy httpd 18.1.37.13946 (Paessler PRTG bandwidth monitor)
| http-title: Welcome | PRTG Network Monitor (NETMON)
|_Requested resource was /index.htm
|_http-trane-info: Problem with XML parsing of /evox/about
135/tcp open  msrpc        Microsoft Windows RPC
139/tcp open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
| smb-security-mode: 
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_clock-skew: mean: 21s, deviation: 0s, median: 20s
| smb2-time: 
|   date: 2024-11-15T01:15:14
|_  start_date: 2024-11-15T01:10:29
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required

Apres mon scan, je trouve des ports interessantes comme d’abord le FTP(21) et aussi le port 80 qui execute un site web.

Mais d’abord, verifions le FTP sur le port 21

Mais bon dans le FTP je trouve pas assez d’informations, donc je vais proceder au site internet.

Euh bien, dans le site je trouve que dans le footer de la page du site c’est ecrit la version PRTG Network Monitor 18.1.37.13946.

En faisant quelque recherche je trouve qu’il existe une vulnerabilite de Remote Code Execution pour ce genre de Site et la version. Mais le probleme est que la vulnerabilite est PRTG Network Monitor 18.2.38 - (Authenticated) Remote Code Execution(CVE-2018-9276), donc je doit etre authentifier pour l’exploiter.
Grace a cet article je comprend que les fichiers de configuration de ce genre de Logiciel PRTG se trouve dans le \ProgramData\Paessler\PRTG Network Monitor\, donc j’accede dans le FTP et je trouve des fichiers importantes.

Ici d’abord j’ai un fichier de PRTG Configuration.old simple et j’en ai aussi le backup de l’ancienne PRTG Configuration.old.bak.
J’ai donc dumper le Backup de l’ancienne, puis j’ai trouver dans le fichier

  
            <dbpassword>
          <!-- User: prtgadmin -->
          PrTg@dmin2018
            </dbpassword>

Mais whaaaaaaaaaaaat, on me dit mot de passe incorrect.

Ducoup, apres un coup de reflechissement, j’ai essayer d’incrementer le nombre dans le mot de passe pourque ca devienne PrTg@dmin2019 et ca a marche

A Partir d’ici maintenant je vais utiliser la CVE-2018-9276 que j’ai trouver pour avoir un shell sur la Machine.
https://github.com/A1vinSmith/CVE-2018-9276