PRACTICA PIVOTING MANUAL

R3NKOR

Soy transexual y estoy embarazado de dos gemelos
Miembro
Nodo Trading
Noder
25 Dic 2018
129
862
Es una practica que tenia por ahi de clase, espero que os guste.

Para la práctica usaremos la Kali, una máquina intermedia(lazySysAdmin) y luego una máquina a la que llegaremos mediante la intermedia, un Windows XP Service Pack 1, la configuración de red lo pondremos todo a NAT.

Primero haremos un descubrimiento de las redes desde nuestra Kali:
tIlt0BvFq3MPlPVAzeu3PvGbgQkwy1cFecqg9QgbsQpbnrBLiwhcF77cQqFBQctDEE8gPECaqs77vejcs4ciMsrMnGU9qojUqU1vkdasVX87aG6jkagvlLlXzRYGtqKcVw97HslV

en este caso la 192...147 corresponde a la máquina LazySysAdmin y la .145 a la windows XP SP1.
realizaremos un netcat con -z para saber que puertos se está escuchando algo, y un -v para que nos muestre información, lo realizaremos de todos los puertos para conocer cuales están abiertos:
AHdu4OO1NPYnzZmsSwgXVCCXgUrpOHi5q0vJjEdBIYwbh7Z35ktNAnd2YwtN2n__NG1su3BdOvPHwtLN6h0E4WKWZHTI3tfXsrXMWBenxQPF9weQdZ7NhHXPGmlqy_vuMnki9Vua

Destacaremos que el puerto 3306 está abierto y el 22, para una posible conexión por SSH.
Realizaremos un test de la red con nmblookup para conocer los grupos de la maquina
Wx7S4ijvftZfHbbu2aSQpqPIICfecHXLoguXYfwQhbxfL3ORynJd1TRVMNxwvrZea7MEIvmgRnXuOJXc4tjyXThOd8HFPNKRnLi3dYF0l2N_OHxtfyzT1WpnrGtuLZIeEOxnqiH3

Consultamos el directorio compartido para saber que contiene:
pAGcevKuQplUEdpItEJmfMObA0FOD7Yb1w45wrWQvAiIeng3cU03_kTChfW_i6H4S-lXYLE-_OM2YfCHwRcGR1IvbAtJYfovRaH8d0sGmybXO1sdLlLqYb_Gs7kkx6560nMMbVSe

De aqui destacamos los directorios wordpress, deets.txt y robots.txt
CxIKbyngotkTI65GxifgITqMCQElFA_EwJw4tGu5RTUciRajXCcsdODii7Aifged1oDoKs-IHE7Zc2jtLzkV7fpbR2pj9fbKRepxOjTMiNLdkqIF-TDiFPgzaU8p5S-P75HmJT3D

Accederemos al directorio wordpress donde se localiza todo sobre la aplicación, lo más importante es obtener el archivo de configuracion, en este caso "wp-config.php"
d1kwtf3Jk0UJ7FOKzCt9GoinDOtkh4crCkiecKeUwYTqF22sbUjF6aComBphABHVKvBZYWxvTXgwg0GZBWPPYkq145l9qq34bvTrc9L3YEbiC4oVZYQ2Pbtlsj7KxIkPvlDkcbi-


Como sabemos que el puerto 3306(mysql) está abierto, cabe la posibilidad de que haya un phpmyadmin, por lo que pasamos a comprobarlo:
RBwe-p5ci8_jJud7Njgjpj4YmvT83u4oESj7EbqvsI73x-q54ZyOsl8CNn2AwPQ4Q4tbLvxAQcn1zQzgBRz1aZ10FBqRWeGyXu8mkKlMDPcQlVCmLK5dIRMx6wjhYsRSr2diBPaa


Desconocemos el username y la password, pero como anteriormente hemos obtenido el archivo "wp-config.php" mediante un wget ahí se encuentra un usuario y contraseña.
Accedemos al panel phpmyadmin con las siguientes credenciales sacadas del archivo de configuración:
0bMYY4OKVb_GSeUUe8GW4LPJkAijnlx6QsvJGbLng9lDcAgD_wFCdVjNlKoW7x_6qmNOqv5aOSpRA9RFJBQe09L4YxaGy5BVDMOtImzAK0ysIYQ9Ovzk-5H8VpEY5LymRu8mqAej

falta poner la pagina wp-login/wp-admin, enumerar usuarios y como vemos que existe el admin probamos conm las mismas credenciales.
Como es un wordpress, nos podemos logear con wp-login o con wp-admin, probamos con wp-login:
DiYFe7eekmDgNOAtqfTf1wRjskKQcSI7oIkkr-c0J9T0BUxbNJ4a5dQXfx2YbwjyTvSlWKWZtBDJyPaW2EKiC5NxYUZ2tbe-lj1P7k0e0t2nlS5x6gJDzTOH9o2clEifWOwRxZNe

Ya tenemos un panel para logearnos, ahora realizaremos una enumeración de usuarios para comprobar si el usuario "Admin" que anteriormente nos ha servido para logearnos en la BBDD se encuentra:

V9L92xFovgSHHQisvenIdoWnHLE6kkqvD3fNmmLw4j1AiR85ojeY4tgUhlfAKp1WAxT0kpd_ZXZrxreDNv2ej_EXAb3J2CNRiVmRkpzs6p4J2AuYM2tgT8ucys4uLHncblI0ag7g

Efectivamente el usuario "Admin" se encuentra por lo que cabe la posibilidad que el usuario haya cometido el error de tener el mismo login de la BBDD y el Wordpress, por lo que probaremos si es así:
D0jJ0kYqVujFN8avMP9e5gzXQ1CJfvEjePJCzmQxhyhxwswX0cXgQH8z160BcjCISbLtHia7X70-5fbkO0txjPrfAQltc3gpyNoqnf_qCrnK3rL5SHceybl9PL0e71rYipVZLkPr

Efectivamente tiene el mismo acceso.



Acabamos de inspeccionar el dir del smbliente y vemos el deets que nos da otra password:
cIrygJAmq2S7slrEEVp0s4pEhwJY-8atL-Yt6qxwAVEhAHSzRdgBUSzv5QLGey8p-pCbZNGdSWzDzrIYCLgaCprPRr4Zhb3zgKah8BbLr4IYJRDBOb7JcZ9Iipihj-Nj2GXzrTAI


Tenemos el puerto 22 abierto (ssh) probamos a meternos por ssh con las contraseñas y usuarios que tenemos, el usuario togie lo sacamos del phpmyadmin users, probamos con el usuario Togie y la password "12345" sacado del "deets.txt":

86Ri0jcpF22UvCQTac2eW0PcKWYyXeGyjnul2t_8F7UsDK-DSc5VXK0zQII85XSw4wK8cvsdleMYqEEzGStSejTkAtCkyHb58C1vxRhveUisbls-3rJWA06lKHSCafZwfL-SZo7Y

Ha funcionado, por lo que haremos un sudo -l para ver su lsitado de permisos.

I2RMbYeHnXeixHkxUffBvYA2xQFe9oufAQwf2gOJBHcjlnDcgLBql_W1qfH_tVLMtnUQDR5n_6-pfrPWbFdp34w3b7Ew4kKIh9cqc9zOO7QGH746PijtqsxbaZZVMfhFjCOp_z6v

Tenemos permisos con ALL, podemos hacer lo que queramos por lo que haremos un sudo su para ser root, realizaremos posteriormente un ifconfig para ver su red y un arp -a para hacer un descubrimiento y ver a qué máquinas llegamos.
Ru1ZMD6BBiJFxJJ6z_0pQGS18U-K5f-CLg13qOKAkQr16OeC8MsCF1ZRpYp_K50nnpA4qokUBtFcG9r7_u3Jesx71GwTsDUyaPneDr1D-PV9sTph-G50Aqu9FmoQZTlIcTWHOktK

Realizaremos un nc a la máquina windows:
gG5Zh9cLj7KUduhRbXQi-lE6Um0NKvMjWd84zijLimEaLOB5OSsYjLIEuztlJ1zNgBnjmq8uV3b-Im4LeeaTA2nB3WofFLEM4FRcUJToGWFnQaefaL7N1GVoyUnwN-pSaeb9xkBM

Nos descargamos un netcat.py en la Kali, y posteriormente nos la bajamos en el directorio /tmp de la maquina de lazysysadmin:
VDt_JzthSzmqHqmlVp9nqEZKwDN02nYoNiFr6XhpSMIStTZURhqPjmKrgL0FDniUqDnSu6PsQ8z_k6MDk5TqBL62L9hhGf1aocka3xHFaY7ZLsX7Ad0Gsz_U-2k5R3RGEd3cCzZd

Ahora con el netcat realizaremos un port forwarding, lo ejecutamos en la maquina de windows por lo que primeramente levantaremos un servidor:
Wd-RuseTAIvKkf8gTSCgTFPyb_wu6legbtD02Iit_nqcOFVzfeaMmPW2XJQAFtnKMA8BtmA1uSL2Nt0wGaTx2jovk4w9VCoQkgy70s9ftcS-2wTqmQ9pb4z3PZferLOEY7ZMmimS


Ahora realizaremos un remote desktop para poder acceder al escritorio de windows:
J6vkP8fUVR22Ods9FMyHlxtysOYWW8vUjJDer_CB_UwDaJixiAfi-xKwHTanH-C-BSxCeXaZ1Lx-uODCQkEEbi8EkRS9kj26PON2e2aEiGNb_v3Yjx_LP0AauwCuJjBjYUZ2H7j3


NhA-5widL1NvE-poA37mhFzcgdcl7GKoqUFNnuixrKKHX89x74vTOvYKVuK5N8UJTkc-ZTx6fePxbf6m8N1vAkWsqqirjt8oXSCQgzOD4oYeJ_sM4gwnX49rM1H31w166nYQHg5R



Una vez dentro, comprobamos que nos encontramos en el grupo de usuarios y queremos ser administradores, nos bajaremos el accesshk desde nuestra kali y la llevaremos a la maquina de windows, primero la pasaremos a la maquina de lazysysadmin con un wget y posteriormente la bajaremos a la maquina de windows, una vez tengamos el achk.exe en la maquina intermedia con wget, levantamos uiun server en el puerto 9000 y vamos a la maquina windows (con el rdekstop) y lo bajamos directamente, haremos lo mismo con el nc.exe:
xU6oZE2m81IkbZYlYYLj7kdj72QxVfvm0z6Pb1BdNRb9ZyrRDZzNlyf9av0Oj1LoOuG2N9j5-0RHg_azCqkO6dQO0sgOimFTe8LDikZ2ynie1Y-7YblMu1-LDGWQ5nT252ZMV0Qk

MZVf-vosTCPqV0kWpv9vXpQL-zbV60s6F0x7urGccYQnlb91eZJACcVAV56eyv-KNH142JaMHWjFgPl7U6MV7VYwVRdYXYENdoFa5Fc4-SXg49hfNv-3iGZ3ndlA1T7dLvRLKoBf

0HFw218MCdlaScL1Vy5n_ZhlNCdL4QQJ7iv2eIHVuMqslNP9IHMmBartk1P-9tLkQK2S_cdYdN3YF_gsDVcwTKq-namC_5JeSutxq8Vlk6zSN5ZvTx9d8THHZVT7bSGr1_dbVD0z


Ejecutamos el acceshk para el grupo de usuarios autentificados:
4-aHPKRr9LxNcVzI3A28n05QV92squHr-U--ZFMGJxZ9KxPrhsIJC9mjDfYrxVvR4QQY7gJWwnFAP-Iyh0ygwAz4pwTRLTb1d7wwbOqyU0_pj4E4ebpmHAJ_Ejtr57sXgE7Edmin

Añadimos el /accepteula para que nos acepte automaticamente las condiciones de uso al ejecutar el acceshk.Comprobamos que el upnphost solo lo pueden realizar los usuarios con permisos de system
qKA-V1_a5j5886i5lcPf1qKuvZs46m5MHpof00OjJAWMGWDdIow9gzp3ZSx0iXduBI4jWvsV5eHqgzIxrpOHwX0fcAiroxaCIILWxJkSO0-gj92kYIuvJ9n_RSi_k1tk6LrTkrK7

Cambiamos el path por donde se encuentra nuestro NC.EXE:
5PpYyXys9pTH5jlzIsev4jBQxm_Sz7d9bcOYGIOJTUeL_fjEO37JQejiWQ9j9LkgOXtWed9tNTIw9ABUqGXt84OLXwi_XiLq7Wb88B8Kg5Qz6HSU4W2pJnMGDhKwrp27m_l4FNGs

Y ponemos un puerto a la escucha para que nos devuelva la conexión a la cmd como system32
CdHnYosT04vzuhegrw1it08hf5Mbe_BKzm_CYY3p0RQw5IUDtaMfxidCE9psBtPov5rcm3fmla4Vh4jbi1yaUQr1AxT19hZkmM5KVqVEPah9CDtgVmR_5mbuEJ-9o-BJw247mNIO

Seguimos el paso a paso tal cual está en fuzzysecurity pero al hacer el start no sale finalmente esto, pese a realizar el "sc config upnphost depend="" y el sc config upnphost auto="".
yytPy6vOzdVfbwOogmv9nde2ruAxhx02G7jgEWn_8rPuIZcDj-z3wExrkf-YXOKutwUuhi6h11PlffwojACYtVeSwGrRLbZokM-JMmn_aN0BCVOx9y_Fjf4Gdza03SSy1N2i_jQ8
 
Última edición:

Anon

⚡CEO⚡
Miembro del equipo
CEO
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Staff
Moderador
23 Dic 2018
4.064
7.066
Muy currado.
 
  • Like
Reacciones : intel

R3NKOR

Soy transexual y estoy embarazado de dos gemelos
Miembro
Nodo Trading
Noder
25 Dic 2018
129
862
Tengo muchisimos más ;) estos días le estaré dando caña al foro.
 

Giygas

Miembro
23 Dic 2018
24
3
Mi like, mi follow y mi tarjeta del banco pa que te pilles algo bonito. Buen post chaval!
 

destapeman

FUCK PUSSYS, YES BADASS
Miembro del equipo
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Moderador
Noderador
Nodero
Nodo Trading
Noder
11 Ene 2019
3.609
5.364
Gracias tío!
 

qav

No soy el mejor mod, pero soy un excepcional pato
Miembro del equipo
Burgués de Nodo
Moderador
Noderador
Nodero
Noder
30 Dic 2018
3.166
1.485
No se que es esto, pero me gusta xd