# Granny
CTF Granny, máquina Windows fácil que involucra el uso webshells. Vamos a utilizar WebDAV para obtener una shell en el objetivo. WebDav bloquea las cargas de aspx, pero no va a impedir cargar un archivo txt y luego usar HTTP Move para modificar la extensión del archivo a un aspx. ### Enumeración #### NMAP Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima. ``` nmap -p- --open -vvv -Pn -n --min-rate 2000 10.10.10.15 ```
Únicamente está abierta el puerto 80 TCP en la máquina objetivo. ``` nmap -p80 -sVC -vv 10.10.10.15 ```
Un servicio abierto: * Puerto 80 -> Microsoft IIS httpd 6.0 #### Enumeración web Vamos a ver el contenido del puerto 80 en el navegador web.
En el puerto 80, solo encontramos una página web por defecto. Como podemos ver en el resultado del NMAP, tenemos un webdav, así que después de mirar la web vamos a usar **davtest** y **cadaver** para enumerarlo. #### Enumerando webdav Primero enumeramos el webdav para ver qué tipos de extensiones de archivos se aceptan. ``` davtest -url http://10.10.10.15/ ```
Ya sabemos que podemos cargar archivos txt. Vamos a cambiar el nombre de shell.aspx a shell.txt y cuando lo carguemos, le cambiamos el nombre con cadáver**.** ``` cadaver 10.10.10.15 ```
#### Usuario Network Service En el directorio que iniciamos cadaver tenemos que descargar una reverse shell con extensión aspx. Vamos a utilizar [este](https://github.com/borjmz/aspx-reverse-shell/blob/master/shell.aspx). Debemos adaptar la IP y el puerto de la shell.
Modificamos la extensión de shell para enviarla a la máquina víctima. ``` upload shell.txt mv shell.txt shell.aspx ```
Debemos habilitar un oyente de netcat y ejecutar la página web en el explorador. Tras esto, deberíamos obtener shell reversa.
No tenemos permisos para visualizar la flag user.txt. Debemos seguir elevando privilegios. ### Elevación de privilegios Primero lanzamos un **systeminfo** para conocer información de la máquina.
A continuación, vamos a ejecutar un **whoami /all** para enumerar los privilegios del usuario que tenemos actualmente.
Sabiendo que el servidor es Windows 2003 y tenemos SeImpersonatePrivilege habilitado, tal vez podamos usar Juicy Potato. Se cumplen los requisitos previos para JuicyPotato, pero pero como la versión del servidor es más antigua que el soporte para el exploit JuicyPotato, usaremos una versión diferente llamada **churrasco.exe** que podemos usar en Server 2003 y Windows XP. En la siguiente [guía](https://binaryregion.wordpress.com/2021/08/04/privilege-escalation-windows-churrasco-exe/) hay más información. Vamos a descargar el exploit churrasco.exe y nc.exe, y los subimos a la máquina víctima. Recordemos, que hay que cambiar la extensión a estos archivos por txt para poder enviarlos a la máquina objetivo. Posteriormente, las volveremos a cambiar.
Ejecutamos el siguiente comando en la terminal de la máquina víctima. ``` C:\WINDOWS\system32>C:\Inetpub\wwwroot\churrasco.exe C:\WINDOWS\system32\cmd.exe ``` Tras la ejecución del comando, tendriamos privilegios máximos.
Vamos a buscar las flags root.txt y user.txt

Flag root.txt

Flag user.txt

Y ya tendriamos el CTF Granny resuelto. {% embed url="" %}