Espeto Malagueño (Windows) TheHackersLabs (Principiante)

Escaneo de puertos

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>
nmap -sCV -p<PORTS> <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-03-27 11:01 EDT
Nmap scan report for 192.168.28.8
Host is up (0.00026s latency).

PORT      STATE SERVICE      VERSION
80/tcp    open  http         HttpFileServer httpd 2.3
|_http-server-header: HFS 2.3
|_http-title: HFS /
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
5985/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
47001/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
49152/tcp open  msrpc        Microsoft Windows RPC
49153/tcp open  msrpc        Microsoft Windows RPC
49154/tcp open  msrpc        Microsoft Windows RPC
49155/tcp open  msrpc        Microsoft Windows RPC
49157/tcp open  msrpc        Microsoft Windows RPC
49158/tcp open  msrpc        Microsoft Windows RPC
MAC Address: 08:00:27:28:82:40 (Oracle VirtualBox virtual NIC)
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: -1s, deviation: 0s, median: -1s
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   3:0:2: 
|_    Message signing enabled but not required
|_nbstat: NetBIOS name: WIN-RE8NJPG9K5N, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:28:82:40 (Oracle VirtualBox virtual NIC)
| smb2-time: 
|   date: 2025-03-27T15:02:17
|_  start_date: 2025-03-27T14:42:13

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 64.92 seconds

Vemos que hay una pagina web en el puerto 80 la cual si entramos veremos varias funciones para loguearnos, subir archivos con nuestro usuario, etc...

Vero vamos a ver si la herramienta whatweb encuentra alguna version o algun tipo de software de forma mas concreta para poder buscar alguna vulnerabilidad que pueda estar asociada.

Whatweb

Info:

Vemos bastantes cosas interesantes, entre ellas que el Software se llama de la siguiente forma:

Y por lo que se ve tiene la version 2.3, por lo que vamos a intentar buscar si tuviera alguna vulnerabilidad asociada.

Veremos que hay un CVE-2014-6287 asociado a el en la que se puede ejecutar codigo de forma remota (RCE)

Escalate user hacker

URL = ExploitDB PoC

Nos descaragaremos el exploit de python y tendremos que hacerle algunos ajustes al script:

49584.py

Solo tendremos que ajustar lo siguiente:

Una vez cambiado eso y guardado, tendremos que ejecutarlo de la siguiente forma:

Explotando el CVE

Info:

Con esto veremos que habremos obtenido la shell con el usuario hacker, por lo que leeremos la flag del usuario.

user.txt

Escalate Privileges

Si vemos los permisos que tenemos...

Info:

Veremos la siguiente linea bastante interesante:

SeImpersonatePrivilege en Windows permite que un proceso suplante la identidad de otro usuario después de autenticarse. Es común en servicios y procesos que necesitan actuar en nombre de un usuario autenticado.

Explotación

Los atacantes pueden aprovechar este privilegio para escalar privilegios mediante técnicas como Juicy Potato, Rogue Potato o PrintSpoofer, que permiten obtener acceso SYSTEM al redirigir tokens de autenticación de procesos privilegiados.

Vamos a verificar antes la version de Windows de la maquina victima metiendo el siguiente comando:

Info:

Vemos que es un Windows Server 2012 por lo que nos sirve el exploit llamado Juicy Potato, vamos a descargarnoslo del siguiente repositorio:

URL = GitHub Juicy Potato

URL = Download JuicyPotato.exe

Vamos abrirnos un servidor de SMB en nuestro host para utilizar el binario desde nuestro host pero ejecutandose en la maquina victima.

Vamos abrirnos el servidor de SMB:

Info:

Tambien tendremos que abrir un servidor de Python3 para pasarnos el binario a la maquina victima:

Ahora desde la maquina victima haremos lo siguiente:

Con esto nos habra descargado el binario, una vez echo esto, vamos a ejecutarlo de la siguiente forma:

Pero antes de ejecutarlo nos vamos a poner a la escucha:

Ahora si ejecutamos el comando de antes...

Si volvemos donde tenemos la escucha veremos lo siguiente:

Vemos que ya seremos Administradores del sistema, por lo que leeremos la flag del admin.

root.txt

PreviousCocido Andaluz (Windows) TheHackersLabs (Principiante)NextHackMyVM

Last updated