Always HackMyVM (Easy - Windows)

Escaneo de puertos

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>
nmap -sCV -p<PORTS> <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-03-30 03:56 EDT
Nmap scan report for 192.168.1.163
Host is up (0.00028s latency).

PORT      STATE  SERVICE       VERSION
21/tcp    open   ftp           Microsoft ftpd
| ftp-syst: 
|_  SYST: Windows_NT
135/tcp   open   msrpc         Microsoft Windows RPC
139/tcp   open   netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open   microsoft-ds  Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
3389/tcp  closed ms-wbt-server
5357/tcp  open   http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Service Unavailable
|_http-server-header: Microsoft-HTTPAPI/2.0
8080/tcp  open   http          Apache httpd 2.4.57 ((Win64))
|_http-server-header: Apache/2.4.57 (Win64)
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-title: We Are Sorry
|_http-open-proxy: Proxy might be redirecting requests
49152/tcp open   msrpc         Microsoft Windows RPC
49153/tcp open   msrpc         Microsoft Windows RPC
49154/tcp open   msrpc         Microsoft Windows RPC
49155/tcp open   msrpc         Microsoft Windows RPC
49156/tcp open   msrpc         Microsoft Windows RPC
49158/tcp open   msrpc         Microsoft Windows RPC
MAC Address: 08:00:27:6B:C2:A4 (Oracle VirtualBox virtual NIC)
Service Info: Host: ALWAYS-PC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb-os-discovery: 
|   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
|   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
|   Computer name: Always-PC
|   NetBIOS computer name: ALWAYS-PC\x00
|   Workgroup: WORKGROUP\x00
|_  System time: 2025-03-30T10:57:16+03:00
|_nbstat: NetBIOS name: ALWAYS-PC, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:6b:c2:a4 (Oracle VirtualBox virtual NIC)
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_clock-skew: mean: -59m59s, deviation: 1h43m55s, median: 0s
| smb2-security-mode: 
|   2:1:0: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2025-03-30T07:57:16
|_  start_date: 2025-03-30T07:55:24

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 64.00 seconds

Vemos varios puertos interesantes, entre ellos vamos a probar primero el servidor FTP de forma anonima:

Pero veremos que no nos deja, por lo que vamos a probar en el puerto 8080 a ver que encontramos.

Si entramos en dicha pagina veremos lo siguiente:

No encontraremos nada, por lo que vamos a realizar un poco de fuzzing.

Gobuster

Info:

Vemos un directorio bastante interesante llamado /admin por lo que vamos a entrar para ver que vemos:

Vemos un login, si probamos las credenciales por defecto admin:admin veremos que no nos deja, pero si inspeccionamos la pagina veremos el siguiente JS.

Vemos que se esta comparando con unas credenciales, por lo que vamos a probar a meterlas, haciendo eso veremos lo siguiente:

Vemos que es un codigo en Base64, pero si lo decodificamos veremos lo siguiente:

Info:

Vemos que pueden ser las credenciales del servidor de FTP, por lo que vamos a probarlas.

FTP

Metemos como contraseña KeepGoingBro!!! y veremos que estaremos dentro, si listamos el servidor veremos lo siguiente:

Vamos a descargarnoslo de la siguiente forma:

Ahora si leemos el archivo, veremos lo siguiente:

Si metemos directamente el /admins-secret-pagexxx.html veremos que funciona y veremos lo siguiente:

Vemos que nos esta proporcionando otras credenciales del usuario always pero la contraseña esta codificada en Base64, pero si la decodificamos veremos lo siguiente:

Info:

Escalate user ftpuser

Pero si lo probamos en la maquina Windows no nos servira, pero el que si nos servira sera el del ftpuser:

Una vez que iniciemos sesion, estaremos dentro de la version escritorio de Windows con dicho usuario, por lo que vamos a generarnos una reverse shell con msfvenom ya que tenemos las credenciales de un usuario.

Una vez generado el binario de la shell vamos a pasarnoslo a la maquina victima abriendo un servidor de python3:

En la maquina victima abriremos el navegador y buscaremos lo siguiente:

Desde aqui nos descargamos la shell que hemos generado, una vez echo esto vamos a ponernos a la escucha desde metasploit.

Utilizaremos la siguiente escucha:

Ahora lo vamos a configurar de la siguiente forma:

Ahora desde la maquina victima ejecutamos el archivo shell.exe y si volvemos a donde tenemos la escucha veremos lo siguiente:

Vemos que ya obtuvimos la shell con un meterpreter.

Escalate Privileges

Ahora que tenemos un meterpreter vamos a utilizar un modulo de metasploit llamado suggester para ver que vulnerabilidades puede tener esta maquina para poder ser administradores.

Vamos a dejar en segundo plano la sesion Ctrl+Z y despues le daremos a Y, una vez que hayamos dejado em segundo plano la sesion haremos lo siguiente:

Ahora vamos a configurarlo:

Info:

El exploit que nos llama la atencion es el siguiente:

Por lo que vamos a utilizarlo.

Ahora vamos a configurarlo:

Info:

Vemos que ha funcionado y ya seremos Administradores por lo que leeremos la flags del usuario y del admin.

user.txt

root.txt

PreviousRunas HackMyVM (Easy - Windows)NextDC01 HackMyVM (Easy - Windows)

Last updated