Quokka (Windows) TheHackersLabs (Principiante)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-03-17 18:02 CET
Nmap scan report for 192.168.10.45
Host is up (0.00030s latency).
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
| http-methods:
|_ Potentially risky methods: TRACE
|_http-title: Portfolio y Noticias Tech de Quokka
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows Server 2016 Datacenter 14393 microsoft-ds
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49666/tcp open msrpc Microsoft Windows RPC
49668/tcp open msrpc Microsoft Windows RPC
49669/tcp open msrpc Microsoft Windows RPC
49670/tcp open msrpc Microsoft Windows RPC
49683/tcp open msrpc Microsoft Windows RPC
MAC Address: 08:00:27:98:E3:3C (Oracle VirtualBox virtual NIC)
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows
Host script results:
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
|_clock-skew: mean: -20m00s, deviation: 34m38s, median: 0s
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled but not required
|_nbstat: NetBIOS name: WIN-VRU3GG3DPLJ, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:98:e3:3c (Oracle VirtualBox virtual NIC)
| smb-os-discovery:
| OS: Windows Server 2016 Datacenter 14393 (Windows Server 2016 Datacenter 6.3)
| Computer name: WIN-VRU3GG3DPLJ
| NetBIOS computer name: WIN-VRU3GG3DPLJ\x00
| Workgroup: WORKGROUP\x00
|_ System time: 2025-03-17T18:03:10+01:00
| smb2-time:
| date: 2025-03-17T17:03:10
|_ start_date: 2025-03-17T16:49:51
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 60.08 secondsVemos que tiene un puerto 80 en el que tiene alojada una pagina web, pero si investigamos no veremos mucho, tambien vemos que tiene un servidor SMB por lo que vamos a probar a enumerar usuario o recursos mediante la herramienta enum4linux.
enum4linux
Info:
Vemos que no nos permite enumerarlo con el usuario vacio, por lo que haremos lo siguiente:
Con esto vamos a utilizar el usuario guest que suele ser el de por defecto para probar a enumerar el SMB.
Info:
Vemos que esta vez si ha funcionado, podemos ver varias cosas interesantes sobre todo que el recurso compartido llamado Compartido se puede entrar y escribir, por lo que si intentamos entrar como anonimo veremos que nos deja.
Escalate Privileges
SMB
Si listamos veremos lo siguiente:
Si nos vamos a la siguiente estructura de carpetas:
Veremos unos archivos interesantes:
Si nos descargamos el archivo mantenimiento.bat y lo leemos por dentro veremos lo siguiente:
Vemos que se esta ejecutando algun script en el puerto 8000 y en la IP: 192.168.1.36, pero no sabemos que hace ese script.
Si leemos el otro archivo llamado mantenimiento - copia.bat veremos lo siguiente:
Vemos que esta cogiendo el shell.ps1 directamente desde cualquier IP por lo que vamos a crearnos un codigo para generar una reverse shell.
Ahora vamos a modificar el mantenimiento.bat y dejarlo de la siguiente forma:
Esto lo subiremos al SMB de la siguiente forma:
Ahora vamos abrirnos un servidor de python3 para que nos coja el archivo shell.ps1 y seguidamente nos pondremos a la escucha con nc.
Ahora nos pondremos a la escucha:
Solo tendremos que esperar cosa de 1 minuto y si volvemos a donde tenemos la escucha veremos lo siguiente:
Vemos que funciono y seremos el usuario el administrador directamente, por lo que leeremos la flag del admin y del usuario (0mar).
user.txt
admin.txt
Last updated