search

Context

Escaneo:

443/tcp  open  https?
| ssl-cert: Subject: commonName=WMSvc-SHA2-WEB
| Not valid before: 2020-10-12T18:31:49
|_Not valid after:  2030-10-10T18:31:49
|_http-title: Home page - Home
1433/tcp open  ms-sql-s      Microsoft SQL Server 2019 15.00.2070.00; GDR1
| ms-sql-info: 
|   10.13.37.12:1433: 
|     Version: 
|       name: Microsoft SQL Server 2019 GDR1
|       number: 15.00.2070.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: GDR1
|       Post-SP patches applied: false
|_    TCP port: 1433
| ms-sql-ntlm-info: 
|   10.13.37.12:1433: 
|     Target_Name: TEIGNTON
|     NetBIOS_Domain_Name: TEIGNTON
|     NetBIOS_Computer_Name: WEB
|     DNS_Domain_Name: TEIGNTON.HTB
|     DNS_Computer_Name: WEB.TEIGNTON.HTB
|     DNS_Tree_Name: TEIGNTON.HTB
|_    Product_Version: 10.0.17763
3389/tcp open  ms-wbt-server Microsoft Terminal Services
| ssl-cert: Subject: commonName=WEB.TEIGNTON.HTB
| Not valid before: 2024-12-23T09:38:02
|_Not valid after:  2025-06-24T09:38:02
5985/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

En busca de directorios:

Se encontro: https://10.13.37.12/home/staffarrow-up-right que contiene la primera flag

Se encontro un directorio admin donse te permite loguearte y probamos las credenciales que encontramos:

Al ingresar

Pues asi lo primero que me llama la atención es que podemos añadir cosas, así que lo primero que voy a intentar sera una SQL injection.

Y vemos que es vulnerable y nos muestra el nombre de la base de datos:

Ahora si dumpeamos el campo user tendremos un usuario. Y si luego hacemos lo mismo con el campo password ya tendremos unas credenciales validas.

Recopilando todos esos datos hagamos un fuzing al directorio original:

Se pudo ingresar con las credenciales encontradas

Después de descargar y unzipear el archivo en una carpeta podemos ver un _ViewStart.cshtml. Analizando el contenido podemos pensar en un ataque de deseralización en la cookie Profile.

Con ayuda de ysoserial crearemos una data serializada que nos descargue el netcat.exe

LogoGitHub - pwntester/ysoserial.net: Deserialization payload generator for a variety of .NET formattersGitHubchevron-right

hashtag
¿Qué es ysoserial?

ysoserialarrow-up-right es una herramienta muy conocida en ciberseguridad para generar cargas útiles (payloads) maliciosas en diferentes formatos de serialización. Fue creada para explotar vulnerabilidades de deserialización en aplicaciones que no validan adecuadamente los datos serializados.

En este contexto, puedes usar ysoserial.net, una versión adaptada para aplicaciones .NET, para crear un objeto serializado que ejecutará comandos arbitrarios (por ejemplo, descargar y ejecutar netcat.exe).

Cambiamos la cookie y al recargar esta vez nos llega una shell y ya podemos ver otra FLAG: CONTEXT{uNs4fe_deceri4liz3r5?!_th33333yre_gr8}

Mirando los logs de webdb podemos encontrar unas credenciales en texto claro:

Si probamos conectarnos con sqsh a mssql con las credenciales, nos podemos conectar:

Si enviamos su contenido a un txt y despues lo cateamos podemos ver la FLAG: CONTEXT{g1mm2_g1mm3_g1mm4_y0ur_cr3d1t}

También encontramos un binario que despues de bajarlo podemos ver que es un dll.

PreviousFortressesNextAkerva

Last updated