War Vulnyx (Easy - Windows)

Escaneo de puertos

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>
nmap -sCV -p<PORTS> <IP>

Info:

Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-03 04:07 EDT
Nmap scan report for 192.168.5.70
Host is up (0.047s latency).

PORT      STATE SERVICE       VERSION
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds?
5040/tcp  open  unknown
8080/tcp  open  http          Apache Tomcat (language: en)
|_http-title: Apache Tomcat/11.0.1
|_http-favicon: Apache Tomcat
|_http-open-proxy: Proxy might be redirecting requests
49664/tcp open  msrpc         Microsoft Windows RPC
49665/tcp open  msrpc         Microsoft Windows RPC
49666/tcp open  msrpc         Microsoft Windows RPC
49667/tcp open  msrpc         Microsoft Windows RPC
49669/tcp open  msrpc         Microsoft Windows RPC
49670/tcp open  msrpc         Microsoft Windows RPC
MAC Address: 08:00:27💿DF:7E (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_nbstat: NetBIOS name: WAR, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27💿df:7e (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2025-08-03T18:09:54
|_  start_date: N/A
|_clock-skew: 9h59m58s

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 175.87 seconds

Veremos varias cosas interesantes, entre ellas un puerto 8080 si entramos dentro del mismo, veremos un apache Tomcat, esto es bastante interesante, vamos abrir metasploit para probar a realizar una fuerza bruta del login del manager (Administrador) y a ver si podemos encontrar las credenciales para ir al panel de admin.

Una vez dentro utilizaremos el siguiente modulo:

Ahora lo configuraremos simplemente de esta forma:

Info:

Vemos que encontro unas credenciales por defecto, por lo que vamos a probarlas, nos iremos a la siguiente ruta web.

Aqui nos pedira un login meteremos lo que encontramos admin:tomcat y veremos que estaremos dentro del panel de administrador, estando aqui dentro podremos probar a subir un archivo .war en el que cuando accedamos nos de una reverse shell, vamos a probar a ver si funciona.

Escalate user nt authority\local service

Ahora vamos a ponernos a la escucha antes de nada:

Una vez echo esto, nos iremos a la pagina y en la parte de WAR file to deploy subiremos el archivo war que hemos generado, una vez cargado y subido, un poco mas arriba veremos nuestro war subido en Applications por lo que ha funcionado de forma correcta.

Ahora si le damos a ese /shell nos llevara a la "pagina" que hemos creado, una vez dado a dicha "pagina" si volvemos a donde tenemos la escucha veremos lo siguiente:

Veremos que ha funcionado, por lo que vamos a realizar un poco de fuzzing a ver que encontramos.

Escalate Privileges

Si listamos los permisos que tenemos veremos lo siguiente:

Info:

Veremos bastante interesante esta linea:

Al saber que tenemos como victima un Windows 10 posiblemente no funcione el ejecutable antiguo llamado JuicyPotato.exe ya que Algunas versiones modernas de Windows bloquean DCOM/COM CLSIDs, por lo que vamos a utilizar una version mas facil llamada PrintSpoofer.

URL = PrintSpoofer64.exe GitHub

Una vez que nos hayamos descargado el de 64 bits vamos a pasarnoslo a nuestra maquian victima de esta forma con un comando de powershell.

Antes abriremos un servidor de python3 donde este el binario.

Ahora ejecutamos esto en la maquina victima:

Una vez echo lo anterior lo vamos a ejecutar de esta forma:

Info:

Con esto veremos que ha funcionado y seremos ya directamente nt authority\system por lo que vamos a leer las flags del usuario y de root.

user.txt

root.txt

PreviousHosting Vulnyx (Easy - Windows)NextControler Vulnyx (Intermediate - Windows)

Last updated