Nickel
Resumen
Información general
Nivel
Intermedio
Sistema
Windows
Spoiler! - Roadmap
Una máquina muy sencillita en la cual se obtienen credenciales leakeadas en un fichero de un servicio web expuesto. Posteriormente se utilizan dichas credenciales para acceder vía ssh y extraer un PDF que contiene información interesante donde se indica un servicio web que se ejecuta con permisos de administrador y a través del cuál se pueden ejecutar comandos.
Se enumeran los pasos con más detalle.
Enumeración de servicios y obtención de un servicio web con un endpoint que muestra información sobre las credenciales del usuario
ariah.Acceso vía ssh y obtención de un fichero PDF protegido con contraseña en la carpeta del servicio
ftp.Cracking del fichero PDF y obtención de la contraseña con el diccionario de
rockyou.txt.Obtención de información en el fichero sobre un endpoint que permite ejecución de comandos como
nt authority\system.Se añade a
ariahal grupo de administradores yPWNED!.
Enumeración
Escáner con nmap
Enumeración básica de todos los servicios vía TCP, UDP y SCTP:
Escáner de puertos y servicios con scripts del Top 1000 vía TCP y UDP, y todos los puertos vía TCP:
Resultados de nmap
El segundo escáner (nmap -T4 -Pn -open --script=default,version,vuln -A -p- -oA nmap/tcp-full-scripts $IP) nos da la siguiente información:
Análisis del escáner
Se obtienen distintas URLs y servicios abiertos, realizando una enumeración básica de cada uno, se obtiene un endpoint que resulta interesante.
Modificando la petición con la IP de la máquina víctima y para que la petición se realice con el método HTTP POST en vez de GET, se obtiene lo siguiente:
Entre la información, obtenemos un nombre de usuario y contraseña, que por sus características, se deduce que está codificada en base64.
Decodificamos la cadena y obtenemos la contraseña de ariah:
Explotación
Acceso directo al sistema
Una vez se han obtenido credenciales válidas en el servidor, se prueba a acceder con dichas credenciales en los servicios disponibles, entre ellos ssh y ftp:
Post-enumeración
Se realiza una enumeración básica del sistema y se obtiene que existe un fichero llamado Infrastructure.pdf en el servicio FTP.
Para descargarlo vía SSH:
Al intentar abrir el fichero, se observa que tiene contraseña. Por lo que realizaremos un ataque por diccionario con pdfcrack utilizando el diccionario de rockyou.txt:
Se obtiene que la contraseña es: ariah4168
En el endpoint "Temporary Command" parece que podría ser posible ejecutar comandos, vamos a ver si hay suerte y es posible que el servicio se esté ejecutando como Administrador.
Desde la sesión SSH, se ejecuta el comando curl contra el endpoint con el comando whoami:
Se obtiene la siguiente respuesta:
Ejecutamos lo siguiente para cambiar a powershell:
Se realiza la petición y se obtiene el contenido de la respuesta
Se obtiene la siguiente respuesta:
Escalada de privilegios
Se añade a ariah al grupo de administradores desde el endpoint:
Se codifica la cadena para enviarla desde la URL:
https://meyerweb.com/eric/tools/dencoder/
Se ejecuta el comando y se obtiene una respuesta satisfactoria:
Se comprueba que el usuario se ha añadido en el grupo de administradores:
Y ya se puede leer la flag que se encuentra en el escritorio del administrador:
Última actualización
¿Te fue útil?