📚
Securiters Wiki
  • 👋Índice
  • 🐣Conceptos Básicos
  • 🔍OSINT
    • Empresas
    • Personas
    • SOCMINT
    • URLs / IPs
  • 🕸️Web
    • 1. Recolección de información
    • 2. Enumeración y descubrimiento
    • 3. Configuración del servidor
    • 4. Entrada de datos
    • 5. Fuerza bruta
    • 6. Autenticación y autorización
    • 7. LFI/RFI
    • 🧞‍♂️CMS
  • 🐢APIs
  • ☎️Móviles
    • 👾Android
    • Analisis Estatico Android
    • Analisis Dinamico Android
    • 📱iOS
    • Jailbreak
    • Analisis Estatico iOS
    • Analisis Dinamico iOS
  • 🎯Internas
    • 🐧Linux
    • 🏹AD
      • Enumeracion
      • Mimikatz & PassTheHash
      • Local Privilege Escalation
      • PE - AS-REPRoast
      • PE - DNSAdmin
      • PE - Kerberoast
      • PE - Trusts
      • PE - Delegations
      • Persistencia - ACLs
      • Persistencia - Kerberos & Tickets
  • 📶Wifi
    • WEP
    • WPS
    • Redes PSK
    • Redes MGT
    • Redes ocultas
  • ⚔️Pentesting / Red team
    • Windows
      • Enumeración
      • Elevación de Privilegios
    • Linux
      • Enumeración
      • Elevación de Privilegios
    • Shells
  • 🛡️Blue Team
  • 📡Puertos & Servicios
    • 21 - FTP
    • 22 - SSH
    • 23 - Telnet
    • 25 - SMTP
    • 53 - DNS
    • 79 - Finger
    • 80 - HTTP
    • 88 - Kerberos
    • 110 - POP3
    • 111 - RPC
    • 123 - NTP (UDP)
    • 135 - MSRPC
    • 139 - Netbios-ssn
    • 143 - IMAP
    • 161/162 - SNMP
    • 389 - LDAP
    • 443 - HTTPS
    • 445 - SMB
    • 464 - kpasswd5
    • 500 - IPSec/IKE VPN
    • 587 - SMPT STARTTLS
    • 623 - IPMI
    • 631 - CUPS
    • 636 - LDAP
    • 1433/1434 - MS SQL Server
    • 1521 - OracleDB
    • 1720 - VoIP - SIP
    • 1900 - UPnP
    • 2049 - NFS
    • 3306 - MySQL
    • 3389 - RDP
    • 4500 - IPSec (UDP)
    • 5357 - WSDAPI
    • 6379 - Redis
    • 6697 - IRC
    • 8009 - Apache Jserv
    • 8080 - HTTP Alt
    • 8500 - Adobe Coldfusion
    • 10000 - Webmin
    • 49981 - System Management Hub
    • 50000 - SAP
  • 🎣Phishing
  • 🐛Bug Bounty
  • ☁️Cloud
    • AWS
    • Azure
  • 🪲Malware
  • 👻Forense
  • 🛠️Tools & Scripts
    • BloodHound
    • Burp Suite
    • Enum4linux
    • Frida
    • Apps Móviles
      • ADB
      • Objection
    • Wireshark
    • Transferencia de ficheros
    • Libros de hacking
    • Addons
    • 🐧WSL
  • ⛳Practicar
  • 🧙‍♂️Certificaciones
    • Repaso CRTP
    • Repaso OSCP
      • 1. Enumeración
      • 2. Vector de entrada
      • 3. Obtención de credenciales
      • 4. Spraying
      • 5. Movimiento lateral
      • 6. Siguientes pasos
  • 📜Recursos en Telegram
  • 🔊Congresos de ciberseguridad
  • 🗣️Entrevistas realizadas
  • 🎤Charlas y Eventos
  • 👣WRITE-UPS
    • 📗Hack The Box
      • 🟢Return
      • 🟢Love
      • 🟢GoodGames
      • 🟢ToolBox
      • 🟢Traverxec
      • 🟢Granny
      • 🟢Jerry
      • 🟢Networked
      • 🟢Arctic
      • 🟢Mirai
      • 🟢Bashed
      • 🟢TwoMillion
      • 🟠Chaos
      • 🟢Validation
      • 🟢Antique
      • 🟢Busqueda
    • 📗Proving Grounds
      • 🟢MoneyBox
      • 🟢Gaara
      • 🟢InfoSec Prep
      • 🟢DC-1
      • 🟢SunsetNoontide
      • 🟢Shakabrah
      • 🟢Ha-Natraj
      • 🟢Monitoring
      • 🟢DriftingBlues6
      • 🟢PyExp
      • 🟢OnSystemShellDredd
      • 🟢Blogger
      • 🟢Dawn
      • 🟢DC-2
      • 🟢FunboxEasy
      • 🟢Sumo
      • 🟢Inclusiveness
      • 🟢FunboxEasyEnum
      • 🟢Potato
      • 🟢Solstice
      • 🟢SunsetDecoy
      • 🟢Lampiao
      • 🟢Vegeta1
      • 🟢Katana
      • 🟢BBSCute
      • 🟢Sar
      • 🟢EvilBox-One
      • 🟢Seppuku
      • 🟢Funbox Rookie
      • 🟢Photographer
      • 🟢CyberSploit1
      • 🟢Amaterasu
      • 🟠Pwned1
      • 🟠My-CMSMS
      • 🟠ICMP
      • 🟠DC-9
      • 🟠SunsetMidnight
      • 🟠Election1
      • 🟠DC-4
      • 🟠Stapler
      • 🟠BTRSys2.1
      • 🟠Assertion101
      • 🟠Loly
      • 🟠SoSimple
      • 🟠Tre
      • 🟠Funbox
      • 🟠NoName
      • 🔴GlasgowSmile
      • 🔴InsanityHosting
      • 🔴Djinn3
      • 🟠CTF SunsetMidnight
Powered by GitBook
On this page
  • Enumeración
  • Elevación de privilegios

Was this helpful?

  1. WRITE-UPS
  2. Hack The Box

Granny

Write-up de la máquina Granny de HackTheBox #writeup #walkthrough

PreviousTraverxecNextJerry

Last updated 2 years ago

Was this helpful?

CTF Granny, máquina Windows fácil que involucra el uso webshells. Vamos a utilizar WebDAV para obtener una shell en el objetivo. WebDav bloquea las cargas de aspx, pero no va a impedir cargar un archivo txt y luego usar HTTP Move para modificar la extensión del archivo a un aspx.

Enumeración

NMAP

Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima. 

nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.10.15

Únicamente está abierta el puerto 80 TCP en la máquina objetivo. 

nmap -p80 -sVC -vv 10.10.10.15

Un servicio abierto:

  • Puerto 80 -> Microsoft IIS httpd 6.0

Enumeración web

Vamos a ver el contenido del puerto 80 en el navegador web.

En el puerto 80, solo encontramos una página web por defecto.

Como podemos ver en el resultado del NMAP, tenemos un webdav, así que después de mirar la web vamos a usar davtest y cadaver para enumerarlo.

Enumerando webdav

Primero enumeramos el webdav para ver qué tipos de extensiones de archivos se aceptan. 

davtest -url http://10.10.10.15/

Ya sabemos que podemos cargar archivos txt. Vamos a cambiar el nombre de shell.aspx a shell.txt y cuando lo carguemos, le cambiamos el nombre con cadáver. 

cadaver 10.10.10.15

Usuario Network Service

Modificamos la extensión de shell para enviarla a la máquina víctima. 

upload shell.txt
mv shell.txt shell.aspx

Debemos habilitar un oyente de netcat y ejecutar la página web en el explorador. Tras esto, deberíamos obtener shell reversa.

No tenemos permisos para visualizar la flag user.txt. Debemos seguir elevando privilegios.

Elevación de privilegios

Primero lanzamos un systeminfo para conocer información de la máquina.

A continuación, vamos a ejecutar un whoami /all para enumerar los privilegios del usuario que tenemos actualmente.

Vamos a descargar el exploit churrasco.exe y nc.exe, y los subimos a la máquina víctima. Recordemos, que hay que cambiar la extensión a estos archivos por txt para poder enviarlos a la máquina objetivo. Posteriormente, las volveremos a cambiar.

Ejecutamos el siguiente comando en la terminal de la máquina víctima. 

C:\WINDOWS\system32>C:\Inetpub\wwwroot\churrasco.exe C:\WINDOWS\system32\cmd.exe

Tras la ejecución del comando, tendriamos privilegios máximos.

Vamos a buscar las flags root.txt y user.txt

Y ya tendriamos el CTF Granny resuelto.

En el directorio que iniciamos cadaver tenemos que descargar una reverse shell con extensión aspx. Vamos a utilizar . Debemos adaptar la IP y el puerto de la shell.

Sabiendo que el servidor es Windows 2003 y tenemos SeImpersonatePrivilege habilitado, tal vez podamos usar Juicy Potato. Se cumplen los requisitos previos para JuicyPotato, pero pero como la versión del servidor es más antigua que el soporte para el exploit JuicyPotato, usaremos una versión diferente llamada churrasco.exe que podemos usar en Server 2003 y Windows XP. En la siguiente hay más información.

👣
📗
🟢
este
guía
Flag root.txt
Flag user.txt