Y no utilizar MetaSploit.<\/p>\n\n\n\n
Comenzamos primero buscando los puertos abiertos en la maquina, en este caso usaremos las opciones \u00bb -sS -Pn y -p-\u00bb para buscar todos los puertos abiertos de una forma silenciosa y sin realizar \u00abping<\/em>\u00bb que podr\u00eda alertar al servicio ICMP<\/em>.<\/p>\n\n\n\n Vemos que tenemos abiertos los puertos: 80,135,139,445,3389,49663,49667,49669 as\u00ed que ahora realizamos un sondeo un poco m\u00e1s agresivos sobre ellos (-T4 -sV) para localizar las versiones, una buena idea es salvar los resultados en un fichero para uso posterior con la opci\u00f3n -oA <Fichero_Informe> y en especial cuando solicitamos ejecuci\u00f3n de scripts que dan muchos m\u00e1s datos.<\/p>\n\n\n\n Con las versiones de los servicios empezamos a enumerar estos particularmente, ya sean con nmap y ejecuci\u00f3n de scripts de la herramienta con la opci\u00f3n \u00ab-sC\u00bb para ejecutar los scripts est\u00e1ndar de ese servicio, por ejemplo el del servicio SMB que es por el que empezaremos a enumerar los servicios disponibles en busca de pistar para la explotaci\u00f3n.<\/p>\n\n\n\n Empezamos por este servicio pues suele resultar bastante fr\u00e1gil, en especial por errores humanos de configuraci\u00f3n, y obtenemos al ejecutar el script varias informaciones que nos pueden resultar \u00fatil, por ejemplo la versi\u00f3n del Windows que es m\u00e1s precisa que en la b\u00fasqueda anterior.<\/p>\n\n\n\n Con esta versi\u00f3n podemos realizar una b\u00fasqueda de vulnerabilidades, por ejemplo con la herramientas \u00absearchsploit<\/em>\u00bb o directamente desde la base de datos de vulnerabilidades.<\/p>\n\n\n\n Lo primero que realizaremos es intentar buscar los recursos compartidos disponibles en SMB<\/em>, con la herramienta \u00absmbclient<\/em>\u00bb <\/span>y la opci\u00f3n \u00ab-L\u00bb.<\/p>\n\n\n\n Vemos varios servicios disponibles, pero nos llama la atenci\u00f3n uno que es de compartici\u00f3n de disco y no es de los est\u00e1ndar y es \u00abntwrksv\u00bb as\u00ed que lo mejor es intentar conectarnos a el a ver si tenemos suerte.<\/p>\n\n\n\n Y vemos que nos da propmpt \u00absmb>\u00bb lo cual nos podemos conectar a el.<\/p>\n\n\n\n <\/p>\n\n\n\n Podemos ver la lista de comando con help pero conviene conocer algunas que utilizaremos en las busqueda de la bandera.<\/p>\n\n\n\n As\u00ed que una vez conectados realizamos una peque\u00f1a enumeraci\u00f3n con un dir y vemos un ficheros, posiblemente interesante, as\u00ed que nos lo traeremos a nuestra maquina local para analizarlo.<\/p>\n\n\n\n Al realizar un \u00abcat\u00bb del fichero sugiere ser claves de usuario y ademas nos fijamos en el contenido y parece base 64 as\u00ed que las decodificamos viendo que tenemos dos usuarios (Bob y Bill) y aparentemente sus claves as\u00ed que lo mejor es intentar conectarnos con esta informaci\u00f3n.<\/p>\n\n\n\n Las respuestas nos hacen suponer que Bob<\/strong> existe como usuario pero esta no es la clave, al menos para el acceso a SMB<\/em> y Bill<\/strong> ni siquiera es un usuario.<\/p>\n\n\n\n Con esta informaci\u00f3n pasamos a enumerar los dos servicios HTTP que encontramos, uno por el puerto 80 y el otro por el puerto 49663 (puerto muy alto y que normalmente no encontramos en uso).<\/p>\n\n\n\n Una primera vista en el navegador de las dos p\u00e1ginas, una por el puerto 80 y la otra por el 49663, nos hace ver que aparentemente son las mismas as\u00ed que lo mejor es realizar un fuzzing de los directorios en cada uno de los puertos.<\/p>\n\n\n\n Y no vemos diferencias entre ambos salvo la existencia del directorio \u00abaspnet_client<\/em>\u00bb en el servidor que escucha por el puerto 49663.<\/p>\n\n\n\n Este directorio se crea cuando se activa el servicio ASP.NET y como tenemos acceso a un directorio desde SMB<\/em>, que ademas conocemos un fichero que se encuentra en el lo mejor es probar si desde el navegador se tiene acceso a este fichero \u00abpasswords.txt\u00bb.<\/p>\n\n\n\n As\u00ed que solicitaremos en el navegador dos p\u00e1ginas una para el puerto 80 y otra para el puerto 49663, del recurso que tenemos disponible por SMB.<\/p>\n\n\n\n Vemos que solo vemos el contenido del fichero \u00abpasswords.txt\u00bb cuando accedemos por el puerto 49663, as\u00ed que podemos intentar subir un fichero .aspx (paginas de ASP.NET) con un reverse shell.<\/p>\n\n\n\n Buscamos uno por internet y encontramos uno en la direcci\u00f3n \u00abhttps:\/\/raw.githubusercontent.com\/borjmz\/aspx-reverse-shell\/master\/shell.aspx<\/strong><\/em>\u00bb lo configuramos con nuestra IP y el puerto por ejemplo 4444 y subimos el fichero modificado a la maquina atacada mediante \u00absmbclient\u00bb y el comando \u00abput\u00bb.<\/p>\n\n\n\n Con el fichero en la maquina a ser atacada, solo nos queda poner la escucha en nuestra maquina por el puerto configurado (4444) y pedir en el navegador el fichero recientemente subido.<\/p>\n\n\n\n <\/p>\n\n\n\n Ya tenemos acceso a la maquina as\u00ed que ahora realizar\u00edamos una enumeraci\u00f3n de la maquina atacada, pero antes vamos a por la bandera de usuario a ver si tenemos suerte y no necesitamos escalada.<\/p>\n\n\n\n Nos vamos al directorio de usuarios y vemos a nuestro \u00abBob\u00bb as\u00ed que nos movemos por sus directorios, tambi\u00e9n pod\u00edamos usar \u00abdir user.txt \/s<\/em>\u00bb y nos encontramos el fichero en el escritorio as\u00ed que solo nos falta ver el contenido y perfecto tenemos acceso y vemos la primera bandera.<\/p>\n\n\n\n <\/p>\n\n\n\n Para la pr\u00f3xima bandera tenemos que realizar una escalada de privilegios ya que no tenemos acceso a directorios del Administrador, que en teor\u00eda es donde estar\u00e1 el fichero de bandera para root, para esto realizaremos una peque\u00f1a enumeraci\u00f3n del sistema para ver por donde podemos atacar la escalada de privilegios.<\/p>\n\n\n\n Confirmamos la versi\u00f3n de Windows, as\u00ed que buscamos una vulnerabilidad, ademas obtenemos tambi\u00e9n la arquitectura que es de 64Bits para conocer que tipos de exploit podemos utilizar.<\/p>\n\n\n\n Tambi\u00e9n miramos los privilegios que tenemos, en especial miramos SeAssignPrimaryTokenPrivilege<\/strong> y SeImpersonatePrivilege<\/strong> que son los necesarios para un ataque Potatoe, vemos que el primero esta deshabilitado pero buscando nos encontramos que tenemos un exploit printSpoofer<\/strong>( https:\/\/itm4n.github.io\/printspoofer-abusing-impersonate-privileges) que es valido para versiones actuales como esta y ademas es suficiente con tener habilitado uno de los dos permisos.<\/p>\n\n\n\n Deberemos descargarnos el de 64 bits que es la arquitectura que utilizamos (https:\/\/github.com\/itm4n\/PrintSpoofer\/releases\/download\/v1.0\/PrintSpoofer64.exe) y lo subimos con smbclient<\/strong> como hicimos con nuestro shell inverso.<\/p>\n\n\n\n Ahora nos iremos al directorio donde se ha descargado, para conocer el directorio antes nos fuimos a la raiz y desde esta buscamos el fichero passwords.txt<\/strong> que es el mismo lugar que donde hemos salvados nuestros ficheros con un comando muy sencillo de windows<\/em> similar al find<\/strong> de Linux<\/em>.<\/p>\n\n\n\n Nos vamos a ese directorio y ejecutamos <\/p>\n\n\n\n Puede que no funcione a la primera as\u00ed que repetimos el comando varias veces hasta que vemos que obtenemos un Shell.<\/p>\n\n\n\n Ya con nivel de administrador vamos a buscar la bandera donde seguramente este y es en el escritorio del administrador.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Y con esta ultima bandera finalizamos esta CTF.<\/p>\n","protected":false},"excerpt":{"rendered":" El reto de esta maquina consiste en localizar dos banderas: User.txt Root.txt Y no utilizar MetaSploit. Comenzamos primero buscando los puertos abiertos en la maquina, en este caso usaremos las opciones \u00bb -sS -Pn y -p-\u00bb para buscar todos los puertos abiertos de una forma silenciosa y sin realizar \u00abping\u00bb que podr\u00eda alertar al servicio […]<\/p>\n","protected":false},"author":1,"featured_media":920,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-container-style":"default","site-container-layout":"default","site-sidebar-layout":"default","disable-article-header":"default","disable-site-header":"default","disable-site-footer":"default","disable-content-area-spacing":"default","footnotes":""},"categories":[110,19,83,16],"tags":[36,49],"class_list":["post-918","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ctf","category-escalar-privilegios","category-pentesting-hacking","category-seguridad","tag-linux","tag-privilegios"],"_links":{"self":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/comments?post=918"}],"version-history":[{"count":9,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/918\/revisions"}],"predecessor-version":[{"id":948,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/918\/revisions\/948"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media\/920"}],"wp:attachment":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media?parent=918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/categories?post=918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/tags?post=918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}nmap -sS -Pn -p- <IP maquina atacada><\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image.png\")
<\/figure>\n\n\n\nnmap -p 80,135,139,445,3389,49663,49667,49669 -Pn -sS -sV -T4 <IP><\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-1.png\")
<\/figure>\n\n\n\nEnumeraci\u00f3n SMB<\/h2>\n\n\n\n
sudo nmap -p 445 -Pn -sS -sV -T4 -sC -oA <Fichero_enmumeracion_SMB> <IP><\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-3.png\")
<\/figure>\n\n\n\nsmbclient -L \\\\<IP><\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-4.png\")
<\/figure>\n\n\n\nsmbclient \\\\<IP>\\nt4wrksv<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-6.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-7.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-8.png\")
<\/figure>\n\n\n\nEnumeraci\u00f3n HTTP<\/h2>\n\n\n\n
dirb http:\/\/<IP>\ndirb http:\/\/<IP>:49663 <\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-9.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-10.png\")
<\/figure>\n\n\n\nhttp://<IP>\/nt4wrksv\/passwords.txt\nhttp:\/\/<IP>:49663\/nt4wrksv\/passwords.txt<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-11.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-12.png\")
<\/figure>\n\n\n\nEscalada de privilegios<\/h2>\n\n\n\n
![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-13.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-14.png\")
<\/figure>\n\n\n\ndir passwords.txt \/s<\/code><\/pre>\n\n\n\nPrintSpoofer64.exe -i -c cmd<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-15.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2022\/10\/image-16.png\")
<\/figure>\n\n\n\n