Granny - HTB Write Up - Webdav exploit

Enumeração Geral 

nmap -Pn -T5 -p- --open [IP] 


Fuzzing

dirb [URL] -w /usr/share/dirb/wordlists/small.txt

O método PUT está habilitado no servidor e permite criar um arquivo. 



O protocolo Webdav está habilitado no servidor. 

nmap -Pn -T5 -p 80 --script http-webdav-scan [IP] 


Validação dos tipos de arquivos que o servidor aceita para upload e para execução. 


Arquivos adicionados no servidor. 


Usando a ferramenta cadaver é possível obter acesso ao diretório raiz / do servidor e usar o comando move para alterar o arquivo teste.txt para rshell.asp. 


No entanto, a extensão .asp não é executada pelo servidor. 

Criei um novo arquivo com o payload da shell-reversa usando a extensão .aspx. 
Também usei o payload do tipo stateless (windows/shell_reverse_tcp) pois o payload do tipo statefull (windows/shell/reverse_tcp) não funcionou. 


Na máquina-atacante, alterei a extensão do arquivo da shell-reversa para .txt e fiz o upload para o servidor usando a ferramenta cadaver. 


Depois usando o comando move alterei a extensão .txt para aspx do arquivo rshell. 

move rshell.txt rshell.aspx


O processo de upload e alteração da extensão do arquivo também pode ser feito usando o cURL. 

curl -X PUT http://10.129.95.234/shell.txt --data-binary @shell.txtcurl -X MOVE --header 'Destination:http://10.129.95.234/shell.aspx' 'http://10.129.95.234/shell.txt'

Na sequencia, executei a shell no servidor http://[IP]/rshell.aspx


E a conexão reversa foi estabelecida. 


O servidor tem dois usuários Lakis e Administrator. 


Informações do servidor: Windows Server 2003

systeminfo


A próxima etapa é fazer a escalação de privilégio. [TO BE CONTINUE...]

Comentários

Postagens mais visitadas