Mailing

Information Gathering

Port and Service

Nmap scan report for 10.10.11.14
Host is up (0.025s latency).
Not shown: 65515 filtered tcp ports (no-response)
PORT      STATE SERVICE       VERSION
25/tcp    open  smtp          hMailServer smtpd
| smtp-commands: mailing.htb, SIZE 20480000, AUTH LOGIN PLAIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
80/tcp    open  http          Microsoft IIS httpd 10.0
|_http-title: Did not follow redirect to http://mailing.htb
|_http-server-header: Microsoft-IIS/10.0
110/tcp   open  pop3          hMailServer pop3d
|_pop3-capabilities: TOP USER UIDL
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
143/tcp   open  imap          hMailServer imapd
|_imap-capabilities: QUOTA CHILDREN completed CAPABILITY OK SORT IMAP4 RIGHTS=texkA0001 IDLE NAMESPACE IMAP4rev1 ACL
445/tcp   open  microsoft-ds?
465/tcp   open  ssl/smtp      hMailServer smtpd
| ssl-cert: Subject: commonName=mailing.htb/organizationName=Mailing Ltd/stateOrProvinceName=EU\Spain/countryName=EU
| Not valid before: 2024-02-27T18:24:10
|_Not valid after:  2029-10-06T18:24:10
| smtp-commands: mailing.htb, SIZE 20480000, AUTH LOGIN PLAIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
|_ssl-date: TLS randomness does not represent time
587/tcp   open  smtp          hMailServer smtpd
| ssl-cert: Subject: commonName=mailing.htb/organizationName=Mailing Ltd/stateOrProvinceName=EU\Spain/countryName=EU
| Not valid before: 2024-02-27T18:24:10
|_Not valid after:  2029-10-06T18:24:10
| smtp-commands: mailing.htb, SIZE 20480000, STARTTLS, AUTH LOGIN PLAIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
|_ssl-date: TLS randomness does not represent time
993/tcp   open  ssl/imap      hMailServer imapd
| ssl-cert: Subject: commonName=mailing.htb/organizationName=Mailing Ltd/stateOrProvinceName=EU\Spain/countryName=EU
| Not valid before: 2024-02-27T18:24:10
|_Not valid after:  2029-10-06T18:24:10
|_ssl-date: TLS randomness does not represent time
|_imap-capabilities: QUOTA CHILDREN completed CAPABILITY OK SORT IMAP4 RIGHTS=texkA0001 IDLE NAMESPACE IMAP4rev1 ACL
5040/tcp  open  unknown
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
7680/tcp  open  pando-pub?
47001/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open  msrpc         Microsoft Windows RPC
49665/tcp open  msrpc         Microsoft Windows RPC
49666/tcp open  msrpc         Microsoft Windows RPC
49667/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
56397/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: mailing.htb; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2025-04-28T06:37:57
|_  start_date: N/A
|_clock-skew: -6h35m46s

Initial Access

Directory Traversal

pada website, saya menemukan sebuah button download instructions, yang dimana url download tersebut rentan terhahadap directory traversal

dilihat dari hasil port scanning terdapat hmailserver, disini saya mencari file config dari hmailserver dan mendapatkannya pada C:\program files (x86)\hMailServer\Bin\hMailServer.INI

didalam file tersebut mengandung sebuah password yang berformat md5, disini saya melakukan cracking menggunakan online tools dan berhasil mendapatkan plain text passwordnya

disini saya mencoba untuk login ke SMTP dengan menggunakan tools swaks, dan berhasil terautentikasi. disini sempat bingung harus ngapain lagi, tetapi setelah baca file intructions yang saya temukan, sepertinya itu menggunakan microsoft outlook. saya mencoba mencari exploit untuk microsoft outlook dan mendapatkan CVE-2024-21413

disini saya menyiapkan listener untuk menangkap NTLMv2 menggunakan responder

disini saya mencoba satu per satu user yang saya temukan dan mendapatkan ntlm dari maya.

kemudian saya melakukan cracking hash tersebut dengan hashcat dan mendapatkan password maya

saya melakukan validasi credential dengan memeriksa smb shares dan winrm

disini maya dapat melakukan remote access server tersebut, serta memiliki Write access ke Important Documents.

Privilege Escalation

disini saya menemukan mesin tersebut menggunakan libreoffice dengan versi yang sudah usang

saya menemukan exploit untuk versi tersebut CVE-2023-2255

Langkah pertama yang saya siapkan adalah mengunggah nc.exe ke C:\ProgramData

selanjutnya saya menjalankan exploit untuk membuat sebuah odt file, dan saya unggah di smb server. kenapa disini? awalnya saya tidak notice kalo folder Important Documents tersebut menarik, setalah saya mencoba meletakan suatu file disana, maka secara ototmatis file tersebut hilang atau terhapus, jadi saya mencoba untuk meletakan file odt disana.

saya memulai listener dengan nc dan berhasil mendapatkan reverse shell dengan privilege administrator

PreviousCicadaNextJerry

Last updated