Reconocimiento
Puertos abiertos
Comenzamos realizando una enumeración básica de los servicios existentes.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-127.png)
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-128.png)
Seguimos con un escaneo más profundo de los servicios abiertos.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-129.png)
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-130.png)
Enumeración Web
El objetivo tiene abiertos los puertos 8080 y 4443. Vamos a ver el contenido de ambos puertos en el navegador.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-131.png)
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-132.png)
Mismo directorio Web que redirige a /dashboard.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-133.png)
Tenemos un posible vector vulnerable. Un posible RFI. Creamos un archivo de pruebas (pruebas.txt) y luego lo enviamos a la máquina atacada haciendo uso de un servidor http con Python.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-134.png)
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-135.png)
Podemos confirmar la vulnerabilidad de RFI.
Explotación
El siguiente paso será generar una Shell reversa en PHP con msfvenom.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-136.png)
Enviamos la Shell de la misma manera que el archivo de pruebas utilizado para determinar que era vulnerable a RFI. Al mismo tiempo, debemos poner a la escucha un oyente nc en el puerto 1337.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-137.png)
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-138.png)
Ya tenemos acceso a la máquina objetivo como usuario de bajos privilegios “Rupert”. Localizamos la flag de usuario, local.txt.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-139.png)
Elevación de privilegios
La Shell generada anteriormente es inestable y se desconecta pasado un periodo de tiempo. Vamos a crear otra carga útil que enviaremos al objetivo utilizando certutil. Comenzamos generando la carga útil.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-140.png)
El siguiente paso será enviar esta carga al objetivo.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-141.png)
Y ejecutamos este archivo al mismo tiempo que tenemos en escucha un oyente nc en el puerto 4444.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-142.png)
Comenzamos enumerando directorios para buscar información que pudiese ser interesante para acceder con máximos privilegios al sistema.
En el directorio raíz hay un C:\Backup que puede ser interesante. Vamos a ver su contenido.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-143.png)
Vamos a ver el contenido de los ficheros.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-144.png)
Vamos a tratar de sobreescribir este archivo para que en la siguiente ejecución se ejecute la carga útil que generemos.
Generamos la siguiente carga útil:
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-145.png)
Esperamos 5 minutos a que el nuevo archivo TFTP.exe se ejecute. Al mismo tiempo ejecutamos un oyente nc en el puerto 8080.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-146.png)
Tras la ejecución del archivo TFTP.EXE malicioso, nos devuelve conexión reversa a la máquina objetivo con máximos privilegios.
![](https://elhackeretico.com/wp-content/uploads/2023/01/image-147.png)
No responses yet