Heist

✍️ Autor: MinatoTW🔍 Dificultad: Fácil 📅 Fecha de creación: 20/11/2019

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 10.10.10.149

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sC -sV 10.10.10.149

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Durante el escaneo se identificaron los siguientes puertos abiertos:

• Puerto 80 (HTTP): El puerto 80 está abierto y ejecutando un servidor web Microsoft IIS 10.0. Además, la página detectada es "Support Login Page" y el recurso solicitado es login.php.

• Puerto 135 (MSRPC): El puerto 135 (RPC) está abierto, lo cual indica que el sistema Windows puede estar ejecutando servicios de administración remota.

• Puerto 445 (SMB): El puerto 445 está abierto, lo que indica que SMB (Server Message Block) está en uso. Esto puede abrir múltiples vectores de ataque.

A continuación, se procederá a analizar cada uno de estos servicios en busca de posibles vectores de ataque.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p80,135,445 -v 10.10.10.149

para que nos proporcione más información sobre esos puertos específicamente.

Revisamos el puerto 80.

Le damos a iniciar como invitado.

Vemos que hay dos usuarios llamados Hazard y Admin. Hazard tiene un problema con el router de CISCO. Hacemos una búsqueda de directorios.

ffuf -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -u http://10.10.10.149/FUZZ

Me llama la atención el directorio attachments.

Nos da error ya que no tenemos permisos por lo que enumeramos los archivos que contiene ese directorio.

gobuster dir -u http://10.10.10.149/attachments/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,pdf,jpg,png,zip,docx,csv

Nos llama la atención el fichero config.txt.

Vemos unas contraseñas de Cisco por lo que las crackeamos.

Cisco Type 7 Password Decrypt / Decoder / Crack Tool

🚀 EXPLOTACIÓN

echo '$1$pdQG$o8nrSzsGXeaduXrjlvKc91' > hash.txt
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

Con crackmapexec miramos las credenicales posibles con Hazard y esas contraseñas.

crackmapexec smb 10.10.10.149 -u Hazard -p contraseñas.txt

El RID Bruteforce es una técnica para enumerar usuarios de un sistema Windows explotando cómo funciona el protocolo SMB por lo que eso hacemos.

crackmapexec smb 10.10.10.149 -u Hazard -p stealth1agent --rid-brute

Han aparecido mas usuarios por lo que descubrimos si tenemos sus contraseñas.

crackmapexec smb 10.10.10.149 -u usuarios.txt -p contraseñas.txt

Hemos encontrado las credenciales de Chase. Nos logueamos para tener acceso a WINRM.

evil-winrm -i 10.10.10.149 -u Chase -p "Q4)sJu\Y8qz*A3?d"

🔐 PRIVILEGIOS

El primer punto menciona “Seguir revisando la lista de incidencias”. Esto se puede hacer a través de un navegador. Si recordamos, las incidencias eran la sección donde el usuario "Hazard" tenía problemas con su router Cisco y donde pudimos acceder a su archivo de configuración en los adjuntos. Esto sugiere que quien escribió esta nota monitorea activamente las incidencias en el servidor web.

Además, hemos notado que Firefox está instalado en la máquina, a pesar de no ser el navegador predeterminado.

Subimos esto.

Microsoft ProcDumpTechSpot

Generar el volcado de memoria: Lo primero que hago es obtener el volcado de memoria de un proceso, como Firefox, utilizando la herramienta procdump. Para ello, ejecuto el siguiente comando en PowerShell, sustituyendo <PID> por el ID del proceso que quiero volcar.

.\procdump64.exe -ma 6624 -accepteula firefox.dmp

Buscar las credenciales: Una vez que tengo el volcado de memoria, procedo a buscar la contraseña o los hashes de las credenciales dentro del archivo .dmp. En este caso, encontré la contraseña del administrador: 4dD!5}x/re8]FBuZ.

download firefox.dmp
strings firefox.dmp | grep -ie "login_username\|login_password"

Conseguimos las credenciales de administrator de SMB.

smbclient //10.10.10.149/C$ -U administrator

Ya somos root.