Admin Vulnyx (Easy - Windows)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-30 04:51 EDT
Nmap scan report for 192.168.5.68
Host is up (0.0059s latency).
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
|_http-title: IIS Windows
| http-methods:
|_ Potentially risky methods: TRACE
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
5040/tcp open unknown
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
7680/tcp open pando-pub?
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
49668/tcp open msrpc Microsoft Windows RPC
49669/tcp open msrpc Microsoft Windows RPC
49670/tcp open msrpc Microsoft Windows RPC
MAC Address: 08:00:27:B6:A0:0C (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
|_nbstat: NetBIOS name: ADMIN, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:b6:a0:0c (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
|_clock-skew: -3s
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled but not required
| smb2-time:
| date: 2025-07-30T08:53:57
|_ start_date: N/A
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 176.48 secondsVeremos varios puertos interesantes, por lo que vamos a realizar un poco de fuzzing para ver que encontramos.
Si entramos en el puerto 80 veremos una web normal y corriente, si intentamos enumerar el SAMBA no veremos gran cosa, ya que no se podra enumerar de forma anonima, por lo que vamos a investigar mas por el puerto 80 a ver que encontramos.
Gobuster
Info:
Veremos un directorio interesante llamado tasks.txt si entramos dentro veremos lo siguiente:
Info:
Vemos un nombre de usuario llamado hope, vamos a realizar fuerza bruta con netexec de esta forma.
NetExec
Antes vamos a pasar el rockyou.txt a UTF-8 para que no de ningun error.
Una vez echo esto, vamos a utilizarlo de esta forma.
Info:
Vemos que hemos encontrado unas credenciales, vamos a probarlas de esta forma.
Info:
Vemos que funciona perfectamente, por lo que vamos a realizar un poco de fuzzing con dichas credenciales en el servidor SAMBA.
Info:
No veremos ningun recurso compartido que se haya creado nuevo, por lo que no nos interesa ninguno.
Recordemos que tenemos el puerto 5985 (WinRM) abierto, por lo que vamos a probar a conectarnos con la herramienta de evil-winrm.
Escalate user hope
Evil-winrm
Info:
Veremos que hemos accedido de forma correcta, por lo que vamos a investigar un poco, pero antes leeremos la flag del usuario.
user.txt
Escalate Privileges
Despues de buscar un rato y no encontrar gran cosa, vamos a utilizar un script automatizado llamado winPeasx64.exe para poder enumerar el sistema completo a ver que vemos.
URL = Download winPeasx64.exe GitHub
Una vez que nos lo hayamos descargado en la maquina host del kali vamos abrir un servidor de python3 para pasarnoslo a la maquina victima.
En la maquina victima haremos esto.
Una vez descargado, vamos a ejecutarlo de esta forma:
Info:
Veremos un archivo interesante, que si lo leemos veremos lo siguiente:
Info:
Vemos que aparece la contraseña del administrador en texto plano, vamos a ver si realmente funciona.
Info:
Veremos que ha funcionado, por lo que vamos a leer la flag de root.
root.txt
Last updated