Esta es una máquina fácil, para su intrusión encontré credenciales en una ruta del servidor web, las utilice para dumpear más usuarios con lookupsid.py, con el usuario Chase me autentique con una contraseña craqueada en evil-winrm, para la escalada de privilegios dumpee un proceso de Firefox con procdump64.exe y filtre en el volcado por login.php y me reporto credenciales de acceso con Administrador.
Esta es una máquina de dificultad fácil, me gusto bastante esta máquina, la intrusión fue divertida, me aproveché de una versión vulnerable de CMS Made Simple, el exploit del cual hice uso explotaba una vulnerabilidad SQL, una vez accedí a la máquina pasaron unos cuantos problemas a la hora de escalar, hasta que vi que estaba ejecutándose run-parts sin su ruta absoluta al iniciar SSH, por lo que me aproveche de un PATH hijacking.
Esta máquina es de dificultad fácil, me gusto más la intrusión al aprovecharme de un panel de control vulnerable llamado OpenNetAdmin, use un exploit que te explotaba la vulnerabilidad del panel y te otorgaba ejecución remota de código arbitrario. Esta vez la escalada fue bastante sencilla de completar, al hacer sudo -l me permitía como cualquier usuario ejecutar el binario de nano a un archivo llamado priv.
Esta es una máquina de dificultad fácil, la experiencia no ha sido frustrante por su facilidad. Haciendo fuzzing me encontré un directorio llamado cgi-bin por lo que pensé que podría tratarse de un shellshock, al volver a hacer fuzzing encontré un script llamado user.sh, y si era vulnerable a shellshock, una vez gane acceso a la máquina me aproveche de Perl porque lo podía ejecutar con sudo.
Esta máquina es de dificultad fácil, me gusto en especial porque se tocaban temas de directorio activo, para su intrusión me aproveche de un archivo de disco duro virtual, pude dumpear hashes de las SAM y consegui craquear el del usuario l4mpje con john. Para la escalada de privilegios encontré una archivo llamado consConf.xml que tenía un clave codificada, la decodifiqué y conseguí root
Esta máquina es de dificultad fácil, me gusto más la intrusión que la escalada de privilegios. Para su intrusión encontré la clave de preferencias de grupo en un recurso compartido llamado Replication y en el archivo Groups.xml, lo descifré con gpp-decrypt y me dio acceso con smbclient haciendo uso del usuario SVC_TGS. Para la escalada conseguí dumpear el Ticket del usuario Administrador, me sirvió para autenticarme con psexec.
Esta máquina es un ‘Starting Point’, me gusto más la intrusión que la escalada de privilegios, accediendo a un panel haciendo uso de credenciales de otra máquina, hice fuerza bruta a un parámetro de la URL (id) y encontré un usuario con más privilegios, logre cambiar la vista de la página y conseguir subir una reverse Shell en PHP, para su escalada encontré un programa que estaba ejecutando cat sin su ruta absoluta, esto era un PATH hijacking.
Esta es una máquina de dificultad fácil, me gusto más la intrusión que la escalada de privilegios, para su intrusión logre hacer ‘directory listing’ y conseguir ver credenciales de WordPress, me autentique con el usuario administrador, conseguí modificar la plantilla 404 e incrustar una reverse Shell, en la escalada de privilegios me permitía ejecutar el binario initctl con cualquier usuario, modifique un servicio y conseguir root
Esta máquina es un ‘Starting Point’, me gusto más la intrusión, me aproveche de un archivo DTS con código XML en el recurso compartido backups que tenía credenciales de autenticación en texto claro, me conecte con mssqclient y logre RCE mediante código PowerShell, me entable una reverse Shell, para la escalada de privilegios encontré un archivo en una ruta del sistema con credenciales, logre autenticarme con winexe.
Esta máquina es de dificultad media, la intrusión me gusto mucho más que la escalada, para su intrusión logre descargar un archivo .bak que tenía el código de la página, viéndolo me doy cuenta de que estaba tratando con una deserializacion insegura en PHP, serialice código malicioso y lo subí al servidor, para la escalada tuve que incluir mi clave publica antes que se copie a known_hosts.