🟢Granny

CTF Granny, máquina Windows fácil que involucra el uso webshells. Vamos a utilizar WebDAV para obtener una shell en el objetivo. WebDav bloquea las cargas de aspx, pero no va a impedir cargar un archivo txt y luego usar HTTP Move para modificar la extensión del archivo a un aspx.

Enumeración

NMAP

Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima.

nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.10.15

Únicamente está abierta el puerto 80 TCP en la máquina objetivo.

nmap -p80 -sVC -vv 10.10.10.15

Un servicio abierto:

• Puerto 80 -> Microsoft IIS httpd 6.0

Enumeración web

Vamos a ver el contenido del puerto 80 en el navegador web.

En el puerto 80, solo encontramos una página web por defecto.

Como podemos ver en el resultado del NMAP, tenemos un webdav, así que después de mirar la web vamos a usar davtest y cadaver para enumerarlo.

Enumerando webdav

Primero enumeramos el webdav para ver qué tipos de extensiones de archivos se aceptan.

davtest -url http://10.10.10.15/ 

Ya sabemos que podemos cargar archivos txt. Vamos a cambiar el nombre de shell.aspx a shell.txt y cuando lo carguemos, le cambiamos el nombre con cadáver.

cadaver 10.10.10.15

Usuario Network Service

En el directorio que iniciamos cadaver tenemos que descargar una reverse shell con extensión aspx. Vamos a utilizar este. Debemos adaptar la IP y el puerto de la shell.

Modificamos la extensión de shell para enviarla a la máquina víctima.

upload shell.txt
mv shell.txt shell.aspx

Debemos habilitar un oyente de netcat y ejecutar la página web en el explorador. Tras esto, deberíamos obtener shell reversa.

No tenemos permisos para visualizar la flag user.txt. Debemos seguir elevando privilegios.

Elevación de privilegios

Primero lanzamos un systeminfo para conocer información de la máquina.

A continuación, vamos a ejecutar un whoami /all para enumerar los privilegios del usuario que tenemos actualmente.

Sabiendo que el servidor es Windows 2003 y tenemos SeImpersonatePrivilege habilitado, tal vez podamos usar Juicy Potato. Se cumplen los requisitos previos para JuicyPotato, pero pero como la versión del servidor es más antigua que el soporte para el exploit JuicyPotato, usaremos una versión diferente llamada churrasco.exe que podemos usar en Server 2003 y Windows XP. En la siguiente guía hay más información.

Vamos a descargar el exploit churrasco.exe y nc.exe, y los subimos a la máquina víctima. Recordemos, que hay que cambiar la extensión a estos archivos por txt para poder enviarlos a la máquina objetivo. Posteriormente, las volveremos a cambiar.

Ejecutamos el siguiente comando en la terminal de la máquina víctima.

C:\WINDOWS\system32>C:\Inetpub\wwwroot\churrasco.exe C:\WINDOWS\system32\cmd.exe

Tras la ejecución del comando, tendriamos privilegios máximos.

Vamos a buscar las flags root.txt y user.txt

Y ya tendriamos el CTF Granny resuelto.