Zero HackMyVM (Easy - Windows)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-03-27 03:29 EDT
Nmap scan report for 192.168.1.155
Host is up (0.00053s latency).
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2025-03-27 15:29:49Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: zero.hmv, Site: Default-First-Site-Name)
445/tcp open microsoft-ds Windows Server 2016 Standard Evaluation 14393 microsoft-ds (workgroup: ZERO)
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: zero.hmv, Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp open mc-nmf .NET Message Framing
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
49670/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49671/tcp open msrpc Microsoft Windows RPC
49695/tcp open msrpc Microsoft Windows RPC
MAC Address: 08:00:27:1F:34:01 (Oracle VirtualBox virtual NIC)
Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled and required
| smb2-time:
| date: 2025-03-27T15:30:37
|_ start_date: 2025-03-27T15:24:26
| smb-os-discovery:
| OS: Windows Server 2016 Standard Evaluation 14393 (Windows Server 2016 Standard Evaluation 6.3)
| Computer name: DC01
| NetBIOS computer name: DC01\x00
| Domain name: zero.hmv
| Forest name: zero.hmv
| FQDN: DC01.zero.hmv
|_ System time: 2025-03-27T08:30:37-07:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: required
|_nbstat: NetBIOS name: DC01, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:1f:34:01 (Oracle VirtualBox virtual NIC)
|_clock-skew: mean: 10h19m58s, deviation: 4h02m29s, median: 7h59m57s
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 94.18 secondsVemos que no esta alojado ninguna pagina web, pero si vemos que tiene un servidor SMB, vemos que es un Windows Server 2016, vamos a ver si pudiera ser vulnerable el servidor SMB por la version que pudiera tener.
detectVuln.py
Lo ejecutaremos de la siguiente forma:
Info:
Vemos que tiene dicha vulnerabilidad, por lo que vamos a utilizar metasploit para esto.
Escalate Privileges
Metasploit
Vamos a utilizar el exploit de eternalblue:
Lo configuraremos de la siguiente forma:
Info:
Vemos que si es vulnerable, pero por alguna razon esta fallando, por lo que podremos seguir buscando exploits asociados a la vulnerabilidad de MS17-010, si buscamos por dicha vulnerabilidad veremos lo siguiente:
Info:
Vemos que hay 4 modulos, el primero es el que hemos probado del ms17_010_eternalblue vamos a probar el modulo del ms17_010_psexec.
Ahora lo configuraremos de la siguiente forma:
Si dejamos los campos vacios de SMBUser y SMBPass para hacerlo de forma anonima, pero si lo dejamos asi tal cual el target en automatico, veremos lo siguiente:
Hace el intento de crear una reverse shell pero no lo consigue ya que el Windows Defender lo puede estar bloqueando, por lo que vamos a utilizar otro target que sea mas discreto.
Info:
Vamos a utilizar el Native upload para subir un archivo de forma automatica y que se nos genere una reverse shell:
Ahora si lo volvemos a ejecutar con exploit veremos lo siguiente:
Vemos que ha funcionado y entraremos directamente como NT AUTHORITY\SYSTEM por lo que habremos terminado la maquina, leeremos las flags.
user.txt
root.txt
Last updated