writeup darckcorp HTB
Buenasss. Este es mi writeup en español de una de lasmejores maquinas de AD de todo HTB. Sin mas dilacion empecemos: Lo primero como siempre hacemos el escaneo de Nmap:
┌──(root㉿fuck-off)-[/darkcorp]
└─# nmap -p- -sVC --open -sT --min-rate 5000 -vvv -n -Pn 10.10.11.54 -oG allports
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-19 10:14 UTC
NSE: Loaded 157 scripts for scanning.
NSE: Script Pre-scanning.
NSE: Starting runlevel 1 (of 3) scan.
Initiating NSE at 10:14
Completed NSE at 10:14, 0.00s elapsed
NSE: Starting runlevel 2 (of 3) scan.
Initiating NSE at 10:14
Completed NSE at 10:14, 0.00s elapsed
NSE: Starting runlevel 3 (of 3) scan.
Initiating NSE at 10:14
Completed NSE at 10:14, 0.00s elapsed
Initiating Connect Scan at 10:14
Scanning 10.10.11.54 [65535 ports]
Discovered open port 22/tcp on 10.10.11.54
Discovered open port 80/tcp on 10.10.11.54
Completed Connect Scan at 10:14, 26.38s elapsed (65535 total ports)
Initiating Service scan at 10:15
Scanning 2 services on 10.10.11.54
Completed Service scan at 10:15, 6.07s elapsed (2 services on 1 host)
NSE: Script scanning 10.10.11.54.
NSE: Starting runlevel 1 (of 3) scan.
Initiating NSE at 10:15
Completed NSE at 10:15, 5.10s elapsed
NSE: Starting runlevel 2 (of 3) scan.
Initiating NSE at 10:15
Completed NSE at 10:15, 2.00s elapsed
NSE: Starting runlevel 3 (of 3) scan.
Initiating NSE at 10:15
Completed NSE at 10:15, 0.00s elapsed
Nmap scan report for 10.10.11.54
Host is up, received user-set (0.033s latency).
Scanned at 2025-10-19 10:14:33 UTC for 40s
Not shown: 65533 filtered tcp ports (no-response)
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT STATE SERVICE REASON VERSION
22/tcp open ssh syn-ack OpenSSH 9.2p1 Debian 2+deb12u3 (protocol 2.0)
| ssh-hostkey:
| 256 33:41:ed:0a:a5:1a:86:d0:cc:2a:a6:2b:8d:8d:b2:ad (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBPM91a70VJCxg10WFerhkQv207077raOCX9rTMPBeEbHqGHO954XaFtpqjoofHOQWi2syh7IoOV5+APBOoJ60k0=
| 256 04:ad:7e:ba:11:0e:e0:fb:d0:80:d3:24:c2:3e:2c:c5 (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHquJFnMIhX9y8Ea87tDtRWPtxThlpE2Y1WxGzsyvQQM
80/tcp open http syn-ack nginx 1.22.1
| http-methods:
|_ Supported Methods: GET HEAD
|_http-title: Site doesn't have a title (text/html).
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
NSE: Script Post-scanning.
NSE: Starting runlevel 1 (of 3) scan.
Initiating NSE at 10:15
Completed NSE at 10:15, 0.00s elapsed
NSE: Starting runlevel 2 (of 3) scan.
Initiating NSE at 10:15
Completed NSE at 10:15, 0.00s elapsed
NSE: Starting runlevel 3 (of 3) scan.
Initiating NSE at 10:15
Completed NSE at 10:15, 0.00s elapsed
Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 39.75 secondsPodemos ver que hay un puerto http (80) y un puerto 22 (ssh). Esto para ser una maquina windows es muy extraño, suelen estar los puertos de un AD o del propio windows abierto pero aqui directamente solo hay estos dos. Lo que me da a pensar que o es una maquina virtual linux ( de echo lo pone en el Nmap que es un linux) o un docker de linux
Al intentar acceder a la web vemos que nos redirije a un dominio llamado drip.htb. Por lo que devo añadirlo al etc/hosts para ver el contenido. Una vez echo eso ya podemos visualizar la pagina. (si eres como yo y usas docker o podman o sistemas de container acuerdate de meter en las dos etc/hosts la resolucion. en tu maquina local y el docker)
Vemos a primera vista que hay un apartado de login. Si pinchamos nos redirige a mail.drip.htb. Por lo que tambien tenemos que añadirlo al etc/hosts. Una vez añadido ya podemos ver el panel de login.
Vemos que es un panel de roundcube.
Si seguimos navegando por drip.htb vemos un panel de registro.
Al crearnos una cuenta nos redirige a mail.drip.htb. Si ponemos esas misma credenciales nos deja acceder al panel de roundcube
Vemos que tenemos un correo de vienvenida.
Si miramos el about veremos la version de roundcube. que es la 1.6.7. Esto nos puede abrir paso a posibles CVE.
Si miramos las cookies veremos que esta avilitado el httpOnly por lo que descartamos un secuestro de cookies
Si intentamos enviar un email y capturamos la peticion con burpsuite ( o caido o cualquier software parecido ) veremos cosas curiosas.
De primeras que la peticion es por post, eso es curioso pero por ahora no viene a cuento.
Una cosa que no emos visto esque al principio en drip.htb hay un panel de contacto. que pasa s capturamos la peticion poniendo nuestro email de drip??
Vemos que tambien va por post, lo cual es curioso.
Si miramos el apartado contact de la web por el inspector del navegador veremos algo que me llama mucho la atencion.
Curiosamente, uno de los campos es el destinatario, uno de los dos campos ocultos del formulario
Es muy extraño que a un usuario le dejes controlar eso. Esto lo podemos modificar desde burpsuite.
Si desde burp cambiamos ese valor y ponemos nuestro email que pasara?
a nivel de peticion no a puesto ninguna pega. por lo que perfecto. Ahora si a funcionado deveria averme llegado algo al email no?
Y si es asi. Estaba en lo correcto. Nos a llegado un correo confidencial.
En el vemos una nueva direcion de correo electronico.
Antes quiero probar una cosa y es el inllectar codigo html de la siguiente forma
si hacemos veremos un resultado curioso
Vemos que podemos injectar codigo. Por lo que hay un posible XSS !!!!
Investigando un poco sobre el tema e encontrado un CVE curioso https://nvd.nist.gov/vuln/detail/CVE-2024-42009
Viendo pocs y pruebas supuestamente si pongo:
Tendria un XSS saltandome una alerta en la web. Asique vamos a probarlo.
Y funciono !!! tenemos un XSS !!!
Por lo que podemos llegar a ejecutar ciertas cosas
Última actualización